Introduction

Une faille de sécurité a été découverte dans le protocole de médiation d'AppLovin, permettant de déchiffrer les données de trafic d'applications mobiles. Les données déchiffrées révèlent que les informations de l'appareil sont partagées avec plusieurs réseaux publicitaires, même lorsque l'utilisateur a refusé l'accès à l'identifiant publicitaire (ATT).

Contexte Technique

Le protocole de médiation d'AppLovin utilise un chiffrement personnalisé pour protéger les données de trafic. Cependant, le chiffrement a été cassé, permettant de déchiffrer les données. Les données déchiffrées sont des requêtes de trafic réelles, contenant des informations sur l'appareil, telles que le modèle, la version du système d'exploitation, la langue et les paramètres de l'écran.

Le protocole utilise un chiffrement basé sur le SHA-256 et un générateur de nombres aléatoires pour créer une clé de chiffrement. Cependant, le chiffrement n'est pas sécurisé, car il n'y a pas de mécanisme d'authentification ou de vérification de l'intégrité des données.

Analyse et Implications

Les données déchiffrées révèlent que les informations de l'appareil sont partagées avec plusieurs réseaux publicitaires, même lorsque l'utilisateur a refusé l'accès à l'identifiant publicitaire (ATT). Cela signifie que les utilisateurs peuvent être identifiés de manière déterministe, même s'ils ont refusé l'accès à l'identifiant publicitaire.

Les données déchiffrées contiennent également des informations sur les applications installées sur l'appareil, ainsi que des données sur les préférences de l'utilisateur. Cela peut être utilisé pour créer des profils d'utilisateurs détaillés, ce qui peut être utilisé pour des fins de publicité ciblée.

Perspective

La faille de sécurité dans le protocole de médiation d'AppLovin souligne l'importance de la sécurité des données dans les applications mobiles. Les utilisateurs doivent être conscients des risques liés à la collecte et au partage de leurs données personnelles.

Les développeurs d'applications doivent prendre des mesures pour sécuriser les données de leurs utilisateurs, en utilisant des protocoles de chiffrement sécurisés et en respectant les préférences de confidentialité des utilisateurs. Les régulateurs doivent également prendre des mesures pour protéger les droits des utilisateurs et garantir que les entreprises respectent les lois sur la confidentialité des données.