S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Des apps papier-peint sous Android récupèrent des infos personnelles

Faut-il vraiment un n° de téléphone pour changer de wallpaper ?

Lors de la conférence Black Hat de Las Vegas des chercheurs de la société de sécurité sur mobile Lookout ont expliqué avoir étudié plusieurs applications de papiers-peints pour Android qui accédaient sans raison valable à des informations personnelles sur le téléphone, et les envoyaient sur un serveur en Chine.

app papier peint android

Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.

En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.

Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.

Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.

En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Publiée le 30/07/2010 à 10:52

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 167 commentaires

Avatar de cob59 INpactien
cob59 Le vendredi 30 juillet 2010 à 12:21:15
Inscrit le vendredi 23 octobre 09 - 203 commentaires
Avant installation (grâce aux Intents j'imagine) Android avertit précisément l'utilisateur des quelques droits qui seront alloués à la future application.
A partir de là, que demander de plus ?

Laissons donc les IPhone-users se gausser depuis leur Berlin-Est.
Avatar de cabarca INpactien
cabarca Le vendredi 30 juillet 2010 à 12:21:24
Inscrit le mardi 29 juin 10 - 754 commentaires
Je dois dire que leur parti pris outrancier durant l'antenagate m'a assez décu de leur part. Cela ne les grandit pas.


http://www.appleinsider.com/articles/10/07/29/norways_largest_paper_iphone_4_ant...
Avatar de Drak INpactien
Drak Le vendredi 30 juillet 2010 à 12:32:59
Inscrit le lundi 21 juin 04 - 660 commentaires
Le problème c'est les applis qui utilisent la pub... Elles ont forcément besoin de l'accès au net, et ensuite tu ne sais pas si elles ne vont pas s'en servir pour autre chose...


Bah justement non... les applis gratuites qui t'affichent de la pub (sound manager, rockplayer, ES file explorer, Advanced Task Manager free) ne le font que quand tu es connecté à internet... quand tu ne l'es pas rien ne s'affiche dans l'appli et tu l'utilise normalement...
Commentaire de RaFtf supprimé le 01/01/1970 à 00:00:00 : Troll ou incitation au troll
Avatar de after_burner INpactien
after_burner Le vendredi 30 juillet 2010 à 12:50:02
Inscrit le mercredi 16 juillet 08 - 6963 commentaires
Eh oui, comme quoi, les discours libristes sur la responsabilisation de l'utilisateur face à la sécurité de son système, ds la pratique, ça ne marche pas.

Edité par after_burner le vendredi 30 juillet 2010 à 12:50
Avatar de MaiEolia INpactien
MaiEolia Le vendredi 30 juillet 2010 à 12:55:40
Inscrit le mercredi 9 juillet 08 - 508 commentaires
Ce qui serait bien surtout c'est que l'on puisse soit même définir si tel ou tel appli à accès à tel ou tel parti du téléphone.
Avatar de CryoGen INpactien
CryoGen Le vendredi 30 juillet 2010 à 13:14:24
Inscrit le jeudi 12 mai 05 - 1839 commentaires
Perso, mon numéro de tel est pas renseigné dans la puce
Les applications peuvent aller se faire cuire un proco



Ce qui serait bien surtout c'est que l'on puisse soit même définir si tel ou tel appli à accès à tel ou tel parti du téléphone.


+1
Avatar de Dunaedine INpactien
Dunaedine Le vendredi 30 juillet 2010 à 13:16:06
Inscrit le samedi 7 janvier 06 - 15989 commentaires
Faiblement protégé, ça peut être le mot de passe (cf. la fameuse liste des 100 mots de passe les plus courants) ou la question secrète super obvious, que sais-je.

Mais j'avais pas bien compris ce que tu critiquais, c'était pas super clair (un app' vérolée / iTunes / les users)


Une question secrète bien gérée ne peut pas mener à une quelconque faille de sécurité. Cela voudrait dire que le résultat est directement affiché sur l'écran du client, au lieu d'être envoyé par SMS ou email à l'adresse de contact. Par contre un mot de passe trop faible, là c'est impossible à gérer (enfin si ce n'est à obliger les utilisateurs à avoir des mots de passes un minimum sécurisé, ce qui devrait être fait dans le cadre d'une application comme Itunes ou des boîtes emails).

Ce que j'ai critiqué, c'est le fait de présenter Itunes comme un environnement sécurisé où l'utilisateur n'aurait pas à réfléchir de ses actions. Quand on manipule des données personnelles en ligne, et à plus forte raison des données comme la carte de crédit, il faut être continuellement prudent.
Avatar de Origami INpactien
Origami Le vendredi 30 juillet 2010 à 13:19:47
Inscrit le lundi 24 septembre 07 - 307 commentaires
Ce qui serait bien surtout c'est que l'on puisse soit même définir si tel ou tel appli à accès à tel ou tel parti du téléphone.


+1. Il ne me semble pas que celà sois prévu par google pour un avenir proche .

Il y a peux être une application pour celà



Avatar de Dunaedine INpactien
Dunaedine Le vendredi 30 juillet 2010 à 13:23:42
Inscrit le samedi 7 janvier 06 - 15989 commentaires

+1. Il ne me semble pas que celà sois prévu par google pour un avenir proche .

Il y a peux être une application pour celà





En même temps, le système actuel est probablement ce qu'il y a de plus de ce que vous décrivez. Là vous savez à quoi elle va accéder, donc vous pouvez choisir de ne pas l'installer. Interdire après coup l'accès aux infos risque surtout de faire planter l'appli voir le tél.
;