Index

Collecte d'ID utilisateur dans la politique de confidentialité

Risk: medium

Description

La vulnérabilité réside dans le fait que l'application ne divulgue pas correctement la collecte des identifiants (ID) d'utilisateurs dans la politique de confidentialité, tel que requis par la section Sécurité des données de Google Play. Ce manque de transparence expose les utilisateurs au risque de voir leurs informations personnelles collectées à leur insu ou sans leur consentement.

Recommandation

Pour atténuer la vulnérabilité liée à la collecte des ID utilisateur, assurez-vous que votre politique de confidentialité indique clairement l'objectif de la collecte de ces données, obtenez le consentement explicite des utilisateurs avant de collecter leurs ID utilisateur, et mettez en œuvre des mesures de sécurité strictes pour protéger ces informations sensibles contre tout accès non autorisé ou toute utilisation abusive. De plus, révisez et mettez à jour régulièrement votre politique de confidentialité pour refléter tout changement dans les pratiques de collecte de données.

Liens

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_2_1
• HIPAA_CONTROLS:
  • PRIVACY114
  • PRIVACY121