S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Des apps papier-peint sous Android récupèrent des infos personnelles

Faut-il vraiment un n° de téléphone pour changer de wallpaper ?

Lors de la conférence Black Hat de Las Vegas des chercheurs de la société de sécurité sur mobile Lookout ont expliqué avoir étudié plusieurs applications de papiers-peints pour Android qui accédaient sans raison valable à des informations personnelles sur le téléphone, et les envoyaient sur un serveur en Chine.

app papier peint android

Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.

En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.

Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.

Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.

En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Publiée le 30/07/2010 à 10:52

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 167 commentaires

Avatar de Dunaedine INpactien
Dunaedine Le vendredi 30 juillet 2010 à 11:01:18
Inscrit le samedi 7 janvier 06 - 15989 commentaires
ca a bien beau nous avertir... franchement ca reste du charabia et puis ca n'indique pas pour quelles raison ca va voir ces données....


A partir du moment où un "papier peint" te demande un quelconque accès à de quelconques données, tu refuses, point. Il faudrait peut-être apprendre à réfléchir 2 secondes. Cela fait bien longtemps qu'exactement le même genre de problème existe sur PC, il faut faire gaffe à ce qu'on installe. Rien de nouveau sous le soleil, si ce n'est que les smartphones, devenus des PC miniaturisés, subissent les mêmes problèmes.
Avatar de yeti62 INpactien
yeti62 Le vendredi 30 juillet 2010 à 11:02:59
Inscrit le mercredi 15 juillet 09 - 7438 commentaires
Le screenshot de la news est affiché à chaque fois que tu va installer une appli, si tu vois qu'une appli va accéder à des choses qui n'ont pas lieu d'être tu ne l'installes pas. Au contraire je trouve ça très bien comme système.
Il m'est arrivé de ne pas installer d'application pour ces raisons justement.

edit : multigrilled

C'est pas grave d'être grillé, l'important à mes yeux est que tu as fait l'effort d'apporter ce que tu en sais/penses.



Et sinon, question à la c0n : sur un Androphone, c'est possible d'installer un wallpaper sans passer par une app ?
Avatar de Dunaedine INpactien
Dunaedine Le vendredi 30 juillet 2010 à 11:03:10
Inscrit le samedi 7 janvier 06 - 15989 commentaires
Dans le cas du wallpaper, oui, ça me mettrait en route le gyrophare de "attention, c'est louche!", mais dans les cas d'apps plus complexes, je suis pas sûr que ça soit facile de déterminer quelles informations sont utiles pour l'app ...


Et puis si Madame utilise mon téléphone et autorise des apps pourries


Dans ce cas là, oublies les smartphones de manière générale. Tous peuvent être touchés par ces ennuis, y compris l'Iphone (il y a eu le cas récemment, avec vidage de compte bancaire au passage, c'était passé sur PCI).
Avatar de cabarca INpactien
cabarca Le vendredi 30 juillet 2010 à 11:03:11
Inscrit le mardi 29 juin 10 - 754 commentaires
Enfin il y a une différence entre "accéder à" et transmettre l'information.

Cette deuxieme partie est clairement une faille.

Avatar de Inny INpactien
Inny Le vendredi 30 juillet 2010 à 11:03:14
Inscrit le lundi 17 août 09 - 2817 commentaires
La vérité est qu’aujourd’hui le réseau mobile est totalement pourri. Et quand je dis pourri, c’est que peut-être nous avons tous dans notre réseau mobile des chevaux de troie qui vont se réveiller peut-être dans un an, peut-être dans 18 mois, peut-être demain matin. C’est un réel problème.

Avatar de kiedso INpactien
kiedso Le vendredi 30 juillet 2010 à 11:03:18
Inscrit le vendredi 30 mai 08 - 3043 commentaires
ca a bien beau nous avertir... franchement ca reste du charabia et puis ca n'indique pas pour quelles raison ca va voir ces données....

Un wallpaper qui veut accéder aux données d'appels et à internet, je trouverai ça louche perso.
En plus, c'est en français et assez clairement exprimé je trouve.
Avatar de yeti62 INpactien
yeti62 Le vendredi 30 juillet 2010 à 11:04:15
Inscrit le mercredi 15 juillet 09 - 7438 commentaires

Dans ce cas là, oublies les smartphones de manière générale. Tous peuvent être touchés par ces ennuis, y compris l'Iphone (il y a eu le cas récemment, avec vidage de compte bancaire au passage, c'était passé sur PCI).

l'iPhone, y'a pas de risque, je ne suis pas un lobotomisé troll.gif


Et puis même, 600€ en sans-abo
Avatar de kiedso INpactien
kiedso Le vendredi 30 juillet 2010 à 11:06:54
Inscrit le vendredi 30 mai 08 - 3043 commentaires
C'est pas grave d'être grillé, l'important à mes yeux est que tu as fait l'effort d'apporter ce que tu en sais/penses.



Et sinon, question à la c0n : sur un Androphone, c'est possible d'installer un wallpaper sans passer par une app ?

Oui, un simple jpg dans la SD fait l'affaire
Avatar de cabarca INpactien
cabarca Le vendredi 30 juillet 2010 à 11:07:11
Inscrit le mardi 29 juin 10 - 754 commentaires

Dans ce cas là, oublies les smartphones de manière générale. Tous peuvent être touchés par ces ennuis, y compris l'Iphone (il y a eu le cas récemment, avec vidage de compte bancaire au passage, c'était passé sur PCI).


Toi t'es vraiment un troll de premiere. Le coup du compte bancaire n'a rien à voir du tout avec l'iPhone.

Cite ta source (fiable).

Avatar de misterB INpactien
misterB Le vendredi 30 juillet 2010 à 11:07:43
Inscrit le vendredi 22 octobre 04 - 145625 commentaires
Mais c'est juste des gentils dev incompétent c'est pas grave que les infos partent ailleurs
;