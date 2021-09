in

Une fonctionnalité d’apparence inoffensive sur les appareils Android a été accidentellement découverte par des chercheurs en cybersécurité comme moyen d’espionner les allées et venues d’un autre utilisateur, sans qu’il soit nécessaire d’installer des applications de stalkerware supplémentaires.

Le chercheur de Malwarebytes Pieter Arntz a découvert le problème après s’être connecté à son compte Google sur le smartphone de sa femme. De manière inattendue cependant, cela lui a permis de suivre les mouvements de son épouse à l’aide de la fonction de chronologie de Google Maps.

« Après m’être déconnecté de Google Play sur le téléphone de ma femme, le problème n’était toujours pas résolu. Après quelques recherches, j’ai appris que mon compte Google avait été ajouté aux comptes de téléphone de ma femme lorsque je me suis connecté sur le Play Store, mais qu’il n’a pas été supprimé lorsque je me suis déconnecté après avoir remarqué le problème de suivi », a noté Arntz.

Arntz a ensuite signalé le problème à Google, mais on lui a dit que le comportement est en fait une fonctionnalité et pas vraiment un bogue.

Fonctionnalité imparfaite

Alors que Google pourrait considérer cela comme une fonctionnalité légitime, et non comme un bogue, Malwarebytes, en tant que l’un des membres fondateurs de la Coalition contre les Stalkerware (CAS), le traite comme une faille potentielle car son utilisation abusive constituerait ce qu’il appelle ” abus activé par la technologie.

« Il s’agit plus précisément d’un défaut de conception et d’expérience utilisateur. Cependant, il s’agit toujours d’un défaut qui peut et doit être signalé, car le résultat final peut toujours fournir un suivi de localisation de l’appareil d’une autre personne », affirme Artnz.

Il suggère une poignée de choses que Google pourrait améliorer pour éviter que la fonctionnalité ne soit utilisée à mauvais escient.

Pour commencer, Google doit maîtriser la nature trop zélée de la fonctionnalité. Étant donné que la fonction de chronologie a été activée dans l’appareil d’Arntz et non dans celui de sa femme, il pense qu’il ne devrait pas recevoir les emplacements visités par son téléphone, en premier lieu.

Deuxièmement, bien qu’il ait reçu un avertissement lorsqu’il s’est connecté à son compte sur son téléphone, Google devrait s’assurer qu’un « quelqu’un d’autre connecté à Google Play sur votre téléphone » devrait également être envoyé sur le téléphone de sa femme.

Enfin, Arntz pense que Google devrait faire un meilleur travail pour afficher les utilisateurs actuellement connectés au lieu d’afficher uniquement la première lettre de l’utilisateur du compte Google.

Pour sa part, Malwarebytes conseille à tous les utilisateurs d’Android de vérifier si des comptes Google supplémentaires ont été ajoutés à leur téléphone et de les supprimer manuellement pour atténuer ce risque de fonctionnalité défectueuse.