Votre application VPN ou bloqueur de publicité pourrait collecter vos données

Les fondements du fonctionnement des plates-formes d’analyse de l’App Store ont été exposés cette semaine par BuzzFeed, qui a découvert le réseau d’applications mobiles utilisées par une firme d’analyse populaire Sensor Tower pour amasser des données d’application. La société avait exploité au moins 20 applications, y compris des VPN et des bloqueurs de publicités, dont l’objectif principal était de collecter des données d’utilisation des applications auprès des utilisateurs finaux afin de faire des estimations sur les tendances et les revenus des applications. Malheureusement, ce type d’applications de collecte de données n’est pas nouveau – ni unique à Sensor Tower opération.

Il a été constaté que Sensor Tower exploite des applications telles que Luna VPN, par exemple, ainsi que VPN gratuit et illimité, données mobiles et Adblock Focus, entre autres. Après que BuzzFeed ait tendu la main, Apple supprimé Adblock Focus et Google supprimé Mobile Data. D’autres font toujours l’objet d’une enquête, selon le rapport.

La collecte des données d’utilisation des applications est un problème récurrent dans les magasins d’applications.

Facebook et Google ont tous deux exploité ces applications, pas toujours de manière transparente, et la principale rivale de Annie, App Tower, continue de faire de même aujourd’hui.

Facebook

Pour Facebook, son acquisition en 2013 du fabricant d’applications VPN Onavo pendant des années a constitué un avantage concurrentiel. Le trafic via l’application a donné à Facebook un aperçu des autres applications sociales qui gagnaient en popularité – afin que Facebook puisse soit cloner leurs fonctionnalités, soit les acquérir directement. Quand Apple a finalement démarré Onavo à partir de l’App Store une demi-décennie plus tard, Facebook a simplement ramené le même code dans un nouvel emballage – alors appelé l’application Facebook Research. Cette fois-ci, la collecte de données était un peu plus transparente, car l’application Research payait en fait les données.

Mais Apple a également lancé cette application. Facebook a donc lancé l’année dernière Study and Viewpoints afin de poursuivre ses études de marché et ses efforts de collecte de données. Ces applications sont toujours en ligne aujourd’hui.

Google

Google a également été surpris en train de faire quelque chose de similaire via son application Screenwise Meter, qui invitait les utilisateurs de 18 ans et plus (ou 13 s’ils faisaient partie d’un groupe familial) à télécharger l’application et à participer au panel. Les utilisateurs de l’application ont autorisé Google à collecter leur application et leur utilisation du Web en échange de cartes-cadeaux. Mais comme Facebook, l’application de Google a utilisé le programme de certificat d’entreprise d’Apple pour fonctionner – une violation de la politique Apple qui a vu l’application supprimée, encore une fois après la couverture médiatique. Screenwise Meter est revenu sur l’App Store l’année dernière et continue de suivre l’utilisation de l’application, entre autres, avec le consentement des panélistes.

App Annie

App Annie, une entreprise en concurrence directe avec Sensor Tower, a acquis des sociétés de données mobiles et exploite désormais son propre ensemble d’applications pour suivre l’utilisation des applications sous ces marques.

En 2014, App Annie a acheté Distimo et, à partir de 2016, a exécuté Phone Guardian, une application «Wi-Fi et VPN sécurisé», sous la marque Distimo.

L’application révèle sa relation avec App Annie dans sa description de l’App Store, mais reste vague sur son véritable objectif:

«Reconnue par plus d’un million d’utilisateurs, App Annie est le principal fournisseur mondial d’estimations de performances mobiles. En bref, nous aidons les développeurs d’applications à créer de meilleures applications. Nous construisons nos estimations de performances mobiles en apprenant comment les gens utilisent leurs appareils. Nous le faisons avec l’aide de cette application. « 

En 2015, App Annie a acquis Mobidia. Depuis 2017, il exploite également un moniteur d’utilisation des données en temps réel My Data Manager sous cette marque. La description de l’App Store n’offre que la même divulgation vague, ce qui signifie que les utilisateurs ne sont probablement pas conscients de ce qu’ils acceptent.

Divulgation?

Le problème avec des applications comme App Annie et Sensor Tower est qu’elles sont commercialisées comme offrant une fonction particulière, alors que leur véritable objectif d’exister en est une tout autre.

La défense des sociétés d’applications est qu’elles divulguent et nécessitent un consentement lors de l’intégration. Par exemple, les applications Sensor Tower indiquent explicitement aux utilisateurs ce qui est collecté et ce qui ne l’est pas:

L’application App Annie propose une divulgation similaire et prend une étape supplémentaire pour identifier la société mère par son nom:

App Annie dit également que ses applications peuvent continuer à être utilisées même si le partage de données est désactivé.

Malgré ces opt-ins, les utilisateurs finaux peuvent toujours ne pas comprendre que leur application VPN est en fait liée à une opération de collecte de données beaucoup plus importante. Après tout, App Annie et Sensor Tower ne sont pas des noms familiers (sauf si vous êtes un éditeur ou un distributeur d’applications.)

La responsabilité d’Apple et de Google

Apple et Google, soyons justes, sont également coupables ici.

Bien sûr, Google est plus pro-collecte de données en raison de la nature de sa propre entreprise en tant qu’entreprise publicitaire. (Il suit même les utilisateurs dans le monde réel via l’application Google Maps.)

Apple, quant à lui, se présente comme une entreprise axée sur la confidentialité, mérite donc un examen plus approfondi.

Il semble insondable qu’après le scandale d’Onavo, Apple n’aurait pas examiné de plus près la catégorie des applications VPN pour s’assurer que ses applications étaient conformes à ses règles et transparentes quant à la nature de leurs activités. En particulier, il semble qu’Apple aurait accordé une attention particulière aux applications exploitées par des entreprises du secteur de l’intelligence de l’App Store, comme App Annie et ses filiales.

Apple est sûrement conscient de la façon dont ces entreprises acquièrent des données – c’est une connaissance courante de l’industrie. De plus, les acquisitions d’App Annie ont été rendues publiques.

Mais Apple est en conflit. Il veut protéger l’utilisation des applications et les données utilisateur (et être connu pour la protection de ces données) en ne fournissant pas de métriques plus larges de l’App Store. Cependant, il sait également que les éditeurs d’applications ont besoin de ces données pour fonctionner de manière compétitive sur l’App Store. Ainsi, au lieu d’être proactif pour balayer l’App Store pour les utilitaires de collecte de données, il reste réactif en tirant certaines applications lorsque les médias les mettent à feu, comme le rapport de BuzzFeed l’a fait depuis. Cela permet à Apple de maintenir un voile d’innocence.

Mais extraire des données utilisateur directement de manière secrète n’est qu’une façon de fonctionner. Comme Facebook et Google l’ont compris depuis, il est plus facile d’exécuter ce type d’opérations sur l’App Store si les applications disent simplement, «c’est une application de collecte de données» et / ou proposent un paiement pour la participation – comme le font de nombreuses études marketing panneaux. Il s’agit également d’une relation plus transparente du point de vue du consommateur, car il sait qu’il accepte de vendre ses données.

Pendant ce temps, Apptopia, concurrent de Sensor Tower et App Annie, a déclaré avoir testé puis supprimé sa propre application de blocage des publicités il y a environ six ans, mais affirme n’avoir jamais collecté de données avec. Il favorise désormais l’obtention de ses données directement auprès de ses clients développeurs d’applications.

« Nous pouvons affirmer en toute confiance que 100% des données propriétaires que nous collectons proviennent de comptes d’analyse d’applications partagés où les développeurs d’applications partagent de manière proactive et explicite leurs données avec nous, et nous donnent le droit de les utiliser pour la modélisation », a déclaré le cofondateur d’Apptopia et COO, Jonathan Kay. «Nous ne collectons aucune donnée à partir de panneaux mobiles, d’applications tierces ou même au niveau de l’utilisateur / de l’appareil.»

Ce système (qui est également utilisé par les autres) n’est pas nécessairement meilleur pour les utilisateurs finaux, car il obscurcit davantage le processus de collecte et de partage des données. Les consommateurs ne savent pas quels développeurs d’applications partagent ces données, quelles données sont partagées ou comment elles sont utilisées. (Heureusement pour ceux qui s’en soucient, Apple permet aux utilisateurs de désactiver le partage des données de diagnostic et d’utilisation à partir des paramètres iOS.)

Cependant, la collecte de données effectuée par des sociétés d’analyse d’applications n’est qu’une des nombreuses façons dont les applications divulguent des données.

En fait, de nombreuses applications collectent des données personnelles – y compris des données beaucoup plus sensibles que les tendances d’utilisation des applications anonymisées – via leurs SDK (kits de développement logiciel) inclus. Ces outils permettent aux applications de partager des données avec de nombreuses sociétés technologiques, notamment des réseaux publicitaires, des courtiers de données et des agrégateurs, grands et petits. Ce n’est pas illégal et les utilisateurs traditionnels ne le savent probablement pas non plus.

Au lieu de cela, la sensibilisation des utilisateurs semble surgir à travers des théories du complot, comme « Facebook écoute à travers le microphone », sans se rendre compte que Facebook recueille tellement de données qu’il n’a pas vraiment besoin de le faire. (Eh bien, sauf quand c’est le cas).

À la suite des rapports de BuzzFeed, Sensor Tower dit qu’il « prend des mesures immédiates pour rendre la connexion de Sensor Tower à nos applications parfaitement claire, et ajoute encore plus de visibilité sur les données que leurs utilisateurs partagent avec nous. »

Apple, Google et App Annie ont été invités à commenter. Google ne fournit pas de commentaire officiel. Apple n’a pas répondu.

La déclaration complète de Sensor Tower est ci-dessous:

Notre modèle d’entreprise repose sur des tendances de macro-application de haut niveau. En tant que tels, nous ne collectons ni ne stockons aucune information personnellement identifiable (PII) sur les utilisateurs sur nos serveurs ou ailleurs. En fait, en fonction de la conception de nos applications, ces données sont séparées avant que nous ne puissions les visualiser ou interagir avec elles, et tout ce que nous voyons, ce sont des créations publicitaires diffusées aux utilisateurs. Ce que nous stockons, ce sont des données publicitaires agrégées de très haut niveau qui peuvent montrer les tendances que nous partageons avec les clients.

Notre politique de confidentialité suit les meilleures pratiques et rend notre utilisation des données claire. Nous voulons réitérer que nos applications ne collectent aucun PII et ne peuvent donc être partagées avec aucune autre entité, Sensor Tower ou autre. Nous l’avons clairement indiqué dans notre politique de confidentialité, dans laquelle les utilisateurs optent activement pendant les processus d’intégration des applications après avoir reçu un avertissement sans ambiguïté détaillant les données qui sont partagées avec nous. En règle générale, et au fur et à mesure que notre activité évolue, nous adopterons toujours une approche centrée sur la confidentialité des nouvelles fonctionnalités pour nous assurer que les informations personnelles ne sont pas collectées et sont entièrement protégées.

Sur la base des commentaires que nous avons reçus, nous prenons des mesures immédiates pour rendre la connexion de Sensor Tower à nos applications parfaitement claire et ajouter encore plus de visibilité sur les données que leurs utilisateurs partagent avec nous.

App Annie a partagé ce qui suit:

App Annie n’utilise aucun certificat racine à aucun moment de son processus de collecte de données.

App Annie révèle que lorsque les utilisateurs optent pour la collecte de données (et que le partage de données n’est pas obligatoire pour utiliser nos applications), les données seront partagées avec App Annie à des fins de création d’études de marché. Nous ne collectons des données qu’après que les utilisateurs ont expressément consenti à cette collecte dans nos applications. Nous sommes très transparents, à la fois sur les app stores et dans les applications elles-mêmes et connectons clairement App Annie à nos applications mobiles.



Traduit de l’anglais de https://techcrunch.com/2020/03/10/your-vpn-or-ad-blocker-app-could-be-collecting-your-data/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.