Priez en toute confidentialité : des applications pour musulmans qui respectent vos données personnelles
Les chercheurs de Comparitech ont analysé la confidentialité et la sécurité de 175 applications conçues pour les musulmans sur Google Play, notamment des applications de prière, des applications du Coran et des applications de rencontres. Nous avons analysé chaque application pour obtenir des détails sur toutes les informations sensibles collectées et une liste des autorisations demandées, telles que l'emplacement de l'utilisateur et la liste de contacts. Bien que nous n’ayons pas étudié avec qui les données des utilisateurs sont partagées une fois collectées, nos recherches donnent une image claire des informations personnelles qui sont accessibles aux développeurs d’applications.
Voici quelques points saillants de ce que nous avons trouvé :
- 96 % des applications demandent l’autorisation d’utiliser « l’identifiant de l’appareil et les informations d’appel ». Selon Google, cette autorisation permet à l'application d'accéder à l'identifiant de votre appareil, à l'état de l'appel, au numéro de téléphone et au numéro de téléphone de l'autre partie lors d'un appel. En bref, l'application peut voir qui l'utilisateur appelle et quand.
- Près de 40 % des applications destinées aux musulmans demandent l’accès à la localisation de l’appareil. Les données de localisation peuvent être utilisées pour suivre les mouvements des utilisateurs.
- 63 % des applications demandent l’accès au stockage de données de l’utilisateur, y compris les photos et les médias.
- 7 pour cent ont demandé l’accès aux listes de contacts des utilisateurs. Cela permet aux développeurs de collecter et potentiellement de partager des listes de connexions personnelles de l’utilisateur.
Toutes ces autorisations ne sont pas malveillantes, mais elles sont souvent inutiles et soulèvent des questions quant aux données collectées et avec qui elles sont partagées. On peut imaginer comment les autorités et d’autres groupes pourraient utiliser ces informations pour espionner les allées et venues, les relations et la vie personnelle des personnes utilisant ces applications.
Vice-carte mère a rapporté en novembre 2020 que le L'armée américaine achetait les données des utilisateurs de Muslim Pro . Suite à la réaction des utilisateurs, l'application a déclaré qu'elle ne partagerait plus de données avec X-Mode, un courtier en données qui vendait, entre autres données, la localisation des utilisateurs à l'armée américaine. La controverse entourant Muslim Pro est ce qui a finalement incité Comparitech à rechercher des applications pour les musulmans.
Quelles applications de prière musulmane protègent votre vie privée ?
Les applications de prière musulmane aident généralement les utilisateurs à rester au courant des heures de prière, à savoir dans quelle direction se tourner lorsqu'ils prient, à lire le Coran, à écouter des récitations et à réciter des prières, entre autres ressources. La plupart de ces applications sont disponibles gratuitement sur Google Play et sur l'App Store iOS, mais les développeurs d'applications pourraient monétiser l'application en collectant et en vendant les données personnelles des utilisateurs.
Nous avons choisi les applications suivantes en fonction des critères suivants :
- Autorisations d'installation et d'exécution demandées
- Utilisation de publicités tierces
- Vulnérabilités et fuites
- Politique de confidentialité
Malheureusement, il est difficile de trouver une application de prière qui n’utilise pas votre position. Les informations de localisation sont utilisées pour déterminer votre fuseau horaire pour la planification des prières et la direction vers laquelle votre Qibla (boussole) doit être orientée.
Avec cette mise en garde, nous avons trouvé les applications de prière musulmanes suivantes avec un texte en anglais qui respectent votre vie privée :
Piliers
Piliers est une application basée au Royaume-Uni créée en grande partie en réponse aux problèmes de confidentialité soulevés par l'application Muslim Pro en 2020. L'application comprend des notifications de prière, une Qibla et un suivi de prière, entre autres outils. Il est sans publicité et met l'accent sur la confidentialité, ne demandant que quelques autorisations :
- Emplacement
- Historique des appareils et des applications
- Autre (exécuter au démarrage, accès au réseau, empêcher l'appareil de se mettre en veille, contrôler les vibrations)
La politique de confidentialité de Pillars stipule que même si l'application utilise votre localisation et certaines données personnelles, ces informations ne quittent jamais votre téléphone.
L’application ne présentait aucune de ce que nous considérons comme des fuites graves, selon nos tests.
Islam quotidien
Islam quotidien est une application sans publicité qui comprend un Coran, un minuteur de prière, la Qibla et d'autres matériels pédagogiques. Il ne demande que trois autorisations sur Android :
- Emplacement
- Informations sur la connexion Wi-Fi
- Autre (exécuter au démarrage, contrôler les vibrations, empêcher l'appareil de se mettre en veille)
Le développeur a une politique de confidentialité courte mais claire. Nos outils n’ont signalé qu’une seule autorisation comme étant grave et aucune fuite sérieuse.
1 musulman
1 musulman est une application sans publicité qui demande des autorisations minimales et ne présente aucun problème de sécurité majeur, selon nos tests. Il comprend des notifications de prière et une Qibla.
L'application demande des autorisations pour :
- Emplacement
- Stockage, y compris photos et médias
- Autre (exécuter au démarrage, empêcher l'appareil de se mettre en veille, définir une alarme, etc.)
Nous avons détecté une fuite dans l’application, qui est inférieure à la moyenne. Nos tests ont trouvé un mot de passe en texte brut exposé pour un gestionnaire de référentiel.
La politique de confidentialité est claire et concise et ne fait aucune mention du partage de données avec des tiers.
Application islamique Deen
Application islamique Deen est une application sans publicité avec des versions Bangla et anglaise. Il comprend un minuteur de prière, un Coran avec des traductions audio, la Qibla et d'autres fonctionnalités utiles. Il demande uniquement les autorisations suivantes :
- Emplacement
- Autre (exécuter au démarrage, contrôler les vibrations, empêcher l'appareil de se mettre en veille)
La politique de confidentialité est très courte mais le développeur déclare conserver toutes les informations utilisateur, sans aucune mention de leur partage avec des tiers.
Nos outils ont signalé une autorisation grave et détecté une fuite : une clé API Google exposée.
je prie
je prie est une application sans publicité qui comprend un minuteur de prière et la Qibla. Notamment, cette application peut être utilisée hors ligne, ce qui est vraiment le seul moyen infaillible de garantir qu’une application ne collecte pas vos données personnelles.
iPray demande les autorisations suivantes :
- Emplacement
- Stockage, y compris photos et médias
- Autre (modifier les paramètres audio, exécuter au démarrage, contrôler les vibrations, empêcher l'appareil de se mettre en veille, etc.)
La politique de confidentialité est courte mais claire, indiquant que l’application ne collecte ni ne partage aucune information personnelle. Cependant, il y a un peu de fuite ; nos outils ont trouvé l'URL de la base de données Firebase de l'application, une clé API Google et une clé API générique.
Application Coran qui respecte votre vie privée : myQuran
Il existe une tonne d'applications de lecture et de récitation du Coran avec différentes langues et récitateurs. En ce qui concerne les options de langue anglaise qui protègent votre vie privée, notre préférée est mon Coran . Il comprend des traductions en plusieurs langues et une liste complète de récitants de renommée mondiale.
L'application ne demande que des autorisations très minimes dans la catégorie « autre », y compris l'accès au réseau et empêcher l'appareil de se mettre en veille. Nos outils ont signalé une autorisation grave (en dessous de la moyenne) et deux fuites (dans la moyenne). Les fuites incluent une clé secrète Facebook exposée et une clé API générique.
La politique de confidentialité indique clairement que les données des utilisateurs sont uniquement partagées avec des fournisseurs de services et ne sont pas vendues pour générer des revenus publicitaires.
Muslim Pro est-il privé ?
Vice-carte mère a rapporté en novembre 2020 que le L'armée américaine achetait les données des utilisateurs de Muslim Pro . Suite à la réaction des utilisateurs, l'application a déclaré qu'elle ne partagerait plus de données avec X-Mode, un courtier en données qui vendait, entre autres données, la localisation des utilisateurs à l'armée américaine. La controverse entourant Muslim Pro est ce qui a finalement incité Comparitech à rechercher des applications pour les musulmans.
Bien que notre analyse n’examine pas avec qui les données utilisateur sont partagées, nous pouvons voir que Muslim Pro demande toujours les autorisations suivantes :
- Emplacement
- Caméra
- Stockage, y compris photos et médias
- Informations sur la connexion Wi-Fi
- Autre
Aucune des autorisations n'a été signalée comme une menace de sécurité, mais nos outils ont découvert quatre fuites de données : un mot de passe en texte brut exposé, l'URL d'une base de données Firebase, une clé API générique et une clé API Google.
Mise à jour du 25 avril 2022 :Muslim Pro a répondu aux conclusions de Comparitech avec les informations suivantes :
Mot de passe en texte brut : nous ne stockons aucun mot de passe de notre côté localement, et nous utilisons l'authentification Firebase et utilisons leur SDK pour permettre aux utilisateurs de se connecter par e-mail/mot de passe ou de modifier leur mot de passe.
URL de la base de données Firebase : elle est exposée par conception par Firebase. Il n’y a aucun moyen de contourner ce problème, mais ce n’est pas du tout un problème de sécurité. Si quelqu’un y a accès, il ne pourra rien faire.
Clé API Google : il s'agit de la même condition que l'URL de la base de données Firebase.
Clé API générique : il peut s'agir d'une clé API provenant d'un SDK publicitaire tiers. Dans ce cas, ce n’est pas un problème. Pour les clés API privées de Muslim Pro, elles sont toujours conservées cryptées et sécurisées à l’aide de DexGarde – un outil standard de l’industrie pour le cryptage des applications.
Enfin, Muslim Pro gère un programme public de bug bounty en utilisant une plateforme leader de bug bounty appelée OuiNousHack . Si l'application présente une vulnérabilité ou un problème de sécurité, ceux-ci sont signalés par les chercheurs en sécurité de la plate-forme, et Muslim Pro prend immédiatement des mesures rapides pour les atténuer. Pour le moment, il n’y a aucun problème de sécurité pour l’application sur la plateforme.
Méthodologie et limites
Notre analyse a vérifié les fichiers APK Android de 175 applications pour détecter des fuites vulnérables et des autorisations excessives. Les chercheurs de Comparitech ont créé des scripts personnalisés pour télécharger et analyser chaque fichier d'installation.
Certaines des fuites que nous avons vérifiées comprenaient, sans toutefois s'y limiter :
- Clés API AWS pour accéder aux compartiments de stockage S3
- Jetons Facebook pour accéder au profil et/ou aux applications de quelqu'un
- Vérification Firebase pour les bases de données mal configurées
- Jetons Github pour accéder aux référentiels privés
- Jetons API Google pour accéder aux services payants avec le profil de quelqu'un d'autre
- PayPal pour accéder aux informations bancaires
- Twitter OAuth pour accéder au profil/application de quelqu'un
- Twilio pour accéder aux comptes privés
- Webhooks Slack pour accéder aux espaces de travail privés
- API Heroku pour accéder aux projets hébergés et les modifier/supprimer
Nous avons choisi de ne pas divulguer les fuites spécifiques subies par les applications répertoriées afin de ne pas encourager les attaques contre les applications ou leurs utilisateurs.
Nous avons ensuite examiné en détail autorisations d'installation et d'exécution demandé par chaque application. Par souci de simplicité, nous les désignons souvent par leur groupe d'autorisations dans l'article. Certaines autorisations constituent des risques de sécurité qui exposent les appareils des utilisateurs à des attaques (par exemple, exécuter des scripts shell, lire des SMS), tandis que d'autres sont purement des risques pour la vie privée (emplacement d'accès, liste de contacts).
Apkleaks et Quark ont été utilisés pour l’analyse de l’application.
Nous avons examiné les politiques de confidentialité de toutes les applications recommandées pour toute langue ou absence de langue qui pourrait indiquer la collecte et/ou le partage des données personnelles des utilisateurs.
Êtes-vous un développeur créant des applications privées pour les musulmans ? Vous pensez que votre application devrait être incluse ? Faites-le-nous savoir dans les commentaires ou contactez l'auteur sur Twitter : @pabischoff