AppWest (Far West) – where anything goes…

Bombardé de questions depuis les dernières années et surtout depuis les derniers mois, bien des experts et clients ne sont pas au courant des risques reliés aux applications installées autant sur vos iPhone que tout autres mobiles comme Android.

Premier point, il n’y a rien de gratuit dans la vie. Même pas une App. Si un fabricant indique que sont app est gratuite, il y a une bonne chance qu’en ce moment vos données sont vendues au plus offrants. Voici quelques points intéressant pour le néophyte en sécurité des données personnelles…

Premièrement les entreprises que l’on voit souvent dans le monde de la pub et des mobiles… Des entreprises comme Apsalar, Newrelic, kiip, Google, Flurry… Celles-ci se spécialisent dans l’intelligence des applications mobiles, ainsi que dans la – publicité!

Sur ce, j’adore la page web de newrelic qui indique en grosse lettre : « think customers. Think data ». Quand-même c’est bien de savoir ceci, non?

Je suis un client sans le savoir et je suis des données. Super.

Je comprends très bien que dans certains cas je reçois un service ou une application gratuite, mais à quel prix? Puis-je indiquer que je ne veux pas que mon information soit partagé ou même vendu à mon insu?

Y a t il des limites à l’information que ces entreprises peuvent « prendre » sur moi? Toutes des bonnes questions.

Donc ces entreprises ont la capacité d’enregistrer des informations très particulières comme dans quelle zone géographique vous vous trouvez, quel est le modèle de votre mobile, l’utilisation de votre mémoire, l’espace libre et j’en passe.

Essentiellement, imaginez que quelqu’un est en mesure de savoir si vous utilisez votre voiture, ou vous allez, à quelle vitesse, si vous avez vous ouverts votre porte, votre fenêtre, et quand, etc.

Et ne pensez-pas que cette information est « faible », il peut y avoir plusieurs connexions lors d’un seul click dans votre application mobile « gratuite » qui à sont tour ouvre des dizaines de connexions… ou même juste en passant « d’une page à une autre ».

Flurry est particulièrement curieuse et les données sont envoyées à chacun des clicks dans bien des applications; ça dérange.

Il est donc clair que cette business est lucrative et sous les couvertes. Car même si les fabricants « indiquent » cette information dans les « contrats », qui prend vraiment le temps de lire tous ces détails? Surtout quand les caractères sont tout petits?

La grande différence (avec les compagnie d’assurances et les gadgets offerts pour vous offrir des rabais avec une saine conduite) est que cette information est souvent et même très souvent prise sans votre consentement « explicite ».

Oui, la demande est peut-être caché dans une dédale de documents et que vous avez cliqué OK quelque part, mais le détail de ces données est plus frappant quand on le voit noir sur blanc (avec le bon spécialiste et les bons outils).

Pas nécessairement votre numéro d’assurance sociale ou numéro de carte de crédit, mais de l’information qui est très près de données sensibles selon moi.

Ici je passe toutes les entreprise de publicité comme doubleclick (google), rubicon project, google analytics, googlesyndication…

Ce n’est pas comme si l’application demandait au départ quelques informations de base pour ensuite bien vous servir. Plutôt, les applications font le suivi agressif de ces données, et jamais ceci n’est indiqué à l’utilisateur qui ne le sait pas (identification unique, suivi instantané, etc.).

Et je ne parle pas non plus des sites web visités dans ces applications, eux à leur tour prennent bien de l’information sur votre mobile incluant une série de « cookies » avec bien des données intéressantes (systèmes d’opération, versions de logiciels, lieux physique, etc.).

Toutefois, beaucoup de ces services et ces entreprises possèdent une sécurité très faible et aurait certainement besoin d’aide à bien des niveaux, mais je crois que ceci est à voir ; )

Mais est-ce que toutes les applications et entreprises possède la même approche? et bien non. J’ai effectué certaines vérifications avec l’application de Netflix et le résultat est bien différent…

Dès l’ouverture de l’app de Netflix sur iPhone, un message d’erreur est apparue. Simplement, quelqu’un a fait ces devoirs chez Netflix. Il y a donc un mécanisme de vérification des communications qui me prévient de faire la lecture des api en questions. Il est probable,par exemple, que des technologies comme le ws-security est en place.

Cette approche limite les attaques et recherches d’informations car la solution fait le lien entre le mobile en question et les serveurs dans le cloud. Lors d’une vérification que je pratique, comme il y a un bris au nivaux des certificats et des communications, boom, plus rien ne fonctionne; good job Netflix. Pour un service qui n’en coute moins de 10$ par mois; excellent.

Ceci ne veut pas dire que Netflix ne fait pas de datamining, mais au moins, les traces sont couvertes du point de vue de l’utilisateur; reste à voir pour le reste…

Une autre App que j’aime bien utiliser est Yelp. Voyons qu’est ce qui ce passe avec celle-ci.

Et bien similaire que Netflix, Yelp utilise OAuth avec plusieurs des paramètres permettant le contrôle des communications, et plus particulièrement la nécessité que la communication se produise directement entre le mobile et les serveurs. Excellent, mais ceci n’es pas commun; loin de là.

Donc l’application fonctionne quand-même, pour sa base (info des restaurant, etc.), toutefois, aucune données sensibles (par exemple, données sur l’utilisateur) n’est échangées dans un mode MITM; tel que je suis organisé.

Pour la prochaine, Facetune est une application très connue pour améliorer les photos prises avec des mobiles. L’information trouvées dans celle-ci est assez intéressante.

Premièrement, dès le démarrage de l’application, celle-ci utilise ne nombreux APNs (Apple Push Notification service). Voici un d’une dizaines d’exemples:

{

“url”: “http://www.facetuneapp.com/apns/redirect/f75e195b8cfb6a2aea82075ea8537410f5a86060”,

“message”: “Upload your best Halloween photos to Instagram for a chance to win! Tap for more info.rn”,

“title”: “Win an iPhone 6!”,

“id”: “f75e195b8cfb6a2aea82075ea8537410f5a86060”,

“creation_date”: 1413123855.0

}

Dans les environnements d’Apple, les apns sont utilisés pour faire l’envoi de notifications, toutefois dans facetune ne fait pas l’envoi de celles-ci. Pourtant elle sont clairement indiquées dans le code… à voir avec le temps. Car il ne faut pas oublier que cette application est payante et donc pourquoi faire l’envoi d’apns « genre pub » si ceci n’est pas le cas?

Evernote bloque également les communications en mode MITM. Intéressant comme cette application a été quelque fois indiquée comme étant « peu sécuritaire ». Rien de garantie, mais au moins la base est là; excellent.

Alien Blue, certainement une des apps REDDIT les plus populaire sur iphone (maintenant officielle), est correctement sécurisé et contrôle le flux entre le mobile et les serveurs cloud. Pas de SSL (chiffrement des flux), mais il y clairement un contrôle pour confirmer que la conversation est directe et non pas à travers un proxy inconnu. Idem pour les serveurs REDDIT. Pas de garantie comme bien des virus ce sont retrouvés sur REDDIT mais au moins les flux sont protégés pour minimise les risques les de communications dans des café par exemple.

Maintenant pour Runkeeper. Hyper populaire pour les coureurs qui veulent avoir le détail de leurs mouvements et performances. Naturellement rien de magique de savoir que l’application est au courant de tous vos déplacements (base de GPS), mais voyons un peu plus qu’est ce runkeeper fait en arrière plan.

Chose certaine, runkeeper envoi beaucoup d’information à Google (analytics) en plus de newrelic et les données GPS chez Apple. Même si vous avez payez pour cette app, ouf.

Dans cette app, j’adore l’intégration de la firme kiip. Celle-ci s’assure de vous donnez des médailles pour vos accomplissements, la seule chose est que elle aussi et runkeeper se donnent des médailles. Super modèle d’affaires ; )

Voici les données. Je vous confirmes que j’étais confortablement assis avec un bon thé pendant cette session de runkeeper ; )

{

“date”: “2014-10-13T21:13:07.942142”,

“cache”: {

    “moments”: {

        “blacklist”: [“doing great!”, “ranked_run”, “4TH FASTEST”, “3RD FASTEST”, “2ND FASTEST”, “Hello there”, “Personal Record!”, “some”, “something”],

        “enabled”: true

    },

    “notification_layout”: {},

    “urls”: [“http://d3aq14vri881or.cloudfront.net/static/compressed/mobile-9889a07fc8735db5cb4e3a663a888903.js”, “http://d3aq14vri881or.cloudfront.net/static/css/Unit-0b3873ae6d39074fa549752a294bd7bb.css”, “http://d3aq14vri881or.cloudfront.net/53e8d7ed-c724-ed91-3ba9-611fa533c81f_64x64rk-icon-iOS-512.png”],

    “quiet_period”: 0

}

}

Mais ce n’est pas fini, il y a également l’intégration de vesselapp. Je suis hyper heureux de faire partie d’un funnel, mais lequel exactement? Bonne question.

J’adore aussi cette information…

{

“location”: {

    “lng”: -73.47732282250512,

    “lat”: 45.44339274526149,

    “time”: “2014-10-13T21:40:28.728”,

    “accuracy”: 10

},

“app”: {

    “app_key”: “6cd3803ca0c6ea40c80cb77aa9121fb3”,

    “version”: “4.9.3”

},

“session_id”: “1BA74D29-BB7E-4418-A608-9DA7F456B1B0”,

“user”: {},

“connection”: {

    “carrier”: “Rogers”,

    “type”: “WIFI”

},

“date”: “2014-10-13T21:40:28.704”,

“source”: “application”,

“events”: [{

    “id”: “session_end”,

    “start”: “2014-10-13T21:38:08.409”,

    “end”: “2014-10-13T21:40:28.704”

}],

“sdk”: {

    “capabilities”: [“real”, “share”, “promos”, “passbook”],

    “name”: “Kiip iOS”,

    “version”: “2.0.8”

},

“device”: {

    “id”: “c1976429369bfe063ed8b3409db7c7e7d87196d9”,

    “timezone”: “America/Montreal”,

    “locale”: “en_CA”,

    “resolution”: “414×736”,

    “os”: “8.0.2”,

    “rooted”: false,

    “lang”: “en”,

    “identifier_for_vendor”: “B3248DBE-852C-4088-AC76-61F2BF65D997”,

    “kiip_uuid”: “4B9D3CD8-3BB6-4E9B-87F0-A918F02326C0”,

    “manufacturer”: “Apple”,

    “density”: 3,

    “model”: “iPhone7,1”

}

}

C’est donc certain; j’ai désinstallé Runkeeper.

Alors, combien vaut mon information personnelle? À qui est-elle vendu? Avec cette information et mes comptes Facebook ou autres, c’est ce qui est possible de faire? Ensuite avec ma banque qu’est ce qui arrive? Assez puissant quand on se met à penser aux possibilités.

Une entreprise pourrait facilement savoir qu’est ce que je fais, qui je suis, ou je cours, qu’elle est ma banque… il n’y a pas de limite dans le AppWest – rien ne va plus!

Attention à vous et vos données.