Apple fait largement la promotion de la confidentialité de ses produits, comme l'iPhone. C’est généralement l’un des principaux sujets de discussion dans leurs annonces, ce qui donne l’impression que votre iPhone est plutôt verrouillé. Cela est vrai jusqu'à ce que vous voyiez combien de données d'appareils ordinaires les applications peuvent lire silencieusement.
L'équipe de recherche en sécurité Mysk a lancé Loupe : What Apps Can See, une application iOS gratuite conçue pour montrer aux utilisateurs à quelles informations les applications tierces peuvent accéder via les API iOS publiques. L'application est disponible sur l'App Store pour iPhone et iPad, répertoriée sous Outils de développement, et nécessite iOS 17 ou une version ultérieure.
Pourquoi Loupe n'est pas un détecteur d'espion
Loupe n'est pas conçu pour vous informer en temps réel de ce que font Instagram, TikTok, Facebook ou toute autre application spécifique. Il montre plutôt les types de signaux d'appareil que les applications peuvent lire depuis votre iPhone en utilisant les mêmes API publiques disponibles pour les développeurs. Loupe offre même aux utilisateurs une « visite pratique » de la surface d'empreinte digitale de l'appareil. Le but est de montrer comment des détails ordinaires tels que les paramètres régionaux, le fuseau horaire, l'écran, la batterie, le stockage, les langues du clavier et d'autres signaux peuvent devenir identifiants lorsqu'ils sont combinés.
C'est là que les choses deviennent un peu déstabilisantes, car un appareil n'a pas besoin de votre adresse e-mail, de votre nom ou de votre emplacement exact pour vous reconnaître sur les applications et les sites Web. Un ensemble de petits détails sur l’appareil peut suffire à créer une empreinte digitale identifiable.
Les éléments effrayants sont soigneusement organisés
Loupe trie les lectures en trois niveaux. Les signaux passifs sont visibles par n'importe quelle application sans invite d'autorisation, y compris des éléments tels que les paramètres régionaux, le fuseau horaire, l'écran, la batterie, etc. L'autorisation requise couvre les données qui déclenchent une invite iOS, telles que les contacts, les photos, l'emplacement et les calendriers. Advanced inclut des techniques de canal secondaire telles que la vérification du schéma d'URL et la persistance du trousseau lors des réinstallations d'applications.
La liste de l'App Store mentionne également des exemples tels que l'identification des applications populaires installées, la seconde exacte à laquelle un appareil a été configuré ou effacé, la vérification des graphiques via un navigateur caché et le nom d'un accessoire couplé, qui peut également révéler le nom du propriétaire. Les travaux précédents de Mysk ont révélé des problèmes flagrants en matière de confidentialité des smartphones, et leur nouvelle application montre à quel point votre empreinte numérique est réellement accessible.
