Si tout le monde savait quelles applications se trouvent sur votre téléphone

(peabee.substack.com)

2 points par GN⁺ 2025-03-30 | Aucun commentaire pour le moment. | Partager sur WhatsApp

Jusqu’à il y a quelques années, les applications Android pouvaient consulter la liste complète des applications installées sans l’autorisation de l’utilisateur
À partir d’Android 11 (appliqué depuis 2022), Google a introduit une politique de visibilité des packages qui limite l’accès des développeurs à la liste des applications installées
À titre d’exception, les applications dont certaines fonctions sont essentielles, comme les gestionnaires de fichiers, les navigateurs ou les antivirus, peuvent demander l’autorisation QUERY_ALL_PACKAGES pour consulter la liste complète des applications
Les développeurs doivent indiquer dans AndroidManifest.xml la liste des applications qu’ils souhaitent pouvoir vérifier

Comment les applications indiennes utilisent la liste des applications installées

L’auteur a installé diverses applications indiennes sur un téléphone Android secondaire et a analysé les fichiers AndroidManifest.xml
La plupart des applications ne vérifient que des applications pertinentes pour leur fonctionnement, comme les applis de paiement UPI
Mais certaines applications déclarent un très grand nombre d’applications et collectent ainsi des informations de manière excessive

Swiggy déclare pas moins de 154 noms de packages d’applications
On y trouve même des applications sans rapport avec la livraison de repas, comme Xbox, Playstation, Naukri ou Upstox
Cela laisse fortement penser à un objectif de profilage utilisateur fondé sur les données de comportement des clients
Selon la politique de Google, la liste des applications installées est classée comme une donnée personnelle sensible

Zepto déclare encore plus d’applications que Swiggy, avec 165 applications
Sont incluses des applications populaires dans presque toutes les catégories, comme Netflix, Bumble ou Binance
Zepto est connu pour afficher des prix différents aux utilisateurs iOS et Android
Cette information pourrait aussi servir à afficher des prix différenciés entre utilisateurs Android

Les applications de livreur de Swiggy et Zepto consultent elles aussi des listes d’applications distinctes
Zepto se limite globalement à vérifier les applications de livreurs concurrentes
Swiggy va plus loin en consultant aussi des applications de finance personnelle, de prêt, voire des jeux comme Ludo King
Le niveau de collecte est tel qu’il revient à surveiller jusqu’aux loisirs des livreurs

Kreditbee (50 millions+ de téléchargements) : vérifie 860 applications
Moneyview (50 millions+ de téléchargements) : vérifie 944 applications (liste complète disponible via ce lien GitHub)
Cela inclut des applications de calendrier, d’astrologie, de religion, de mise en relation matrimoniale, d’agriculture, et bien d’autres aspects de la vie quotidienne
Elles utilisent une méthode consistant à lister les applications une par une afin de contourner la politique de Google interdisant QUERY_ALL_PACKAGES

Cred est la seule application à utiliser l’autorisation QUERY_ALL_PACKAGES
Google l’autorise temporairement lorsque les fonctions de transaction financière sont essentielles
Pourtant, d’autres applications financières comparables comme PhonePe ou Paytm n’utilisent pas cette autorisation
Comme Cred propose aussi des services de prêt, il pourrait y avoir violation de la politique

Certaines applications peuvent identifier toutes les applications avec interface utilisateur grâce au filtre d’intent ACTION_MAIN
Cette méthode permet de contourner indirectement les restrictions et de connaître la liste des applications installées sans l’autorisation QUERY_ALL_PACKAGES
Un test réalisé avec une application créée pour l’expérience a montré qu’il était possible de récupérer ainsi la liste complète des applications
Le Play Store devrait l’empêcher, mais dans les faits le contrôle reste laxiste

Applications utilisant un filtre pour vérifier les applications installées :
- Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato
Applications n’utilisant pas ce filtre :
- Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto
Swiggy utilise à la fois le filtre et la déclaration directe (sa méthode de collecte de données est au contraire plus transparente)

En 2022, Vice a rapporté des cas où des courtiers en données américains commercialisaient des informations sur l’installation d’applications de suivi menstruel
La liste des applications installées peut ainsi révéler des informations sensibles sur les convictions personnelles, la santé ou la situation financière

Zepto demande l’autorisation READ_SMS
Elle est indispensable pour la fonction Zepto Postpaid et, en pratique, l’application peut lire les SMS même si l’utilisateur ne la sélectionne pas explicitement
Les messages de Blinkit, Swiggy, Flipkart et d’autres font également partie de ce qui peut être analysé

La plupart des applications fonctionnent normalement sans demander d’autorisations excessives
Mais certaines collectent des données sur les applications installées par l’utilisateur au moyen de techniques de contournement et de longues listes de packages
Les utilisateurs doivent être conscients que ces informations peuvent être facilement exposées lors de l’installation d’une application
Ces données finissent par être revendues via des courtiers en données et pourraient ensuite servir à la discrimination tarifaire ou au ciblage publicitaire