Des apps papier-peint sous Android récupèrent des infos personnelles
Faut-il vraiment un n° de téléphone pour changer de wallpaper ?
Lors de la conférence Black Hat de Las Vegas des chercheurs de la société de sécurité sur mobile Lookout ont expliqué avoir étudié plusieurs applications de papiers-peints pour Android qui accédaient sans raison valable à des informations personnelles sur le téléphone, et les envoyaient sur un serveur en Chine.
Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.
En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.
Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.
Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.
En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.
En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.
Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.
Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.
En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Jeff,
Le 30 juillet 2010 à 10:52
(20 087
lectures)
Il y a 167 commentaires
INpactien
yeti62
Le vendredi 30 juillet 2010 à 11:31:05
#51
Inscrit
le mercredi 15 juillet 09
-
7438
commentaires
Moi je tiens mon iPhone fermement de la main gauche et aucune donnée personnelle n'est transmise. Ca c'est du feature... 
ça c'est velu !
INpactien
Dunaedine
Le vendredi 30 juillet 2010 à 11:32:17
#52
Inscrit
le samedi 7 janvier 06
-
15989
commentaires
Rien à voir avec l'iPhone. Il s'agit de comptes iTunes braqués par la question secrète.
Bien essayé mais non.
Ca c'est ta réponse. Pas de réponses officielle. Dans tous les cas, les comptes ont bien été braqués, avec le pognon dessus. Le fait que cela ait été possible sans même que les utilisateurs des iphones ne soient au courant est un gros problème.
De plus, si ce que tu racontes est vrai, c'est encore pire. Si c'est par la question secrète que l'accès à put se faire, cela veut dire qu'il y a eu envoie du mot de passe en clair? De manière directe à celui qui répond à la question (donc pas à un compte email ou mieux directement au porteur du téléphone par SMS/email)?
Quelle procédure de merde niveau sécu pour une appli pouvant contenir un numéro de carte bleue. J'ose espérer qu'Apple fait mieux, une faille technique est moins insultant qu'une telle erreur.
INpactien
Faut vraiment être un neuneu pour accepter qu'un papier peint accède au réseau...
Ca m'est arrivé quand j'ai voulu installer un live wallpaper. Il ne s'est jamais retrouvé sur mon [strike]pc[/strike] téléphone bien sur ;)...
Edité par Alucard63 le vendredi 30 juillet 2010 à 11:34
Ca m'est arrivé quand j'ai voulu installer un live wallpaper. Il ne s'est jamais retrouvé sur mon [strike]pc[/strike] téléphone bien sur ;)...
Edité par Alucard63 le vendredi 30 juillet 2010 à 11:34
INpactien
misterB
Le vendredi 30 juillet 2010 à 11:34:01
#54
Inscrit
le vendredi 22 octobre 04
-
133168
commentaires
De toutes façon un AndroUser c'est un gars frustré de pas avoir de iPhone 
INpactien
Ca c'est ta réponse. Pas de réponses officielle. Dans tous les cas, les comptes ont bien été braqués, avec le pognon dessus. Le fait que cela ait été possible sans même que les utilisateurs des iphones ne soient au courant est un gros problème.
De plus, si ce que tu racontes est vrai, c'est encore pire. Si c'est par la question secrète que l'accès à put se faire, cela veut dire qu'il y a eu envoie du mot de passe en clair? De manière directe à celui qui répond à la question (donc pas à un compte email ou mieux directement au porteur du téléphone par SMS/email)?
Quelle procédure de merde niveau sécu pour une appli pouvant contenir un numéro de carte bleue. J'ose espérer qu'Apple fait mieux, une faille technique est moins insultant qu'une telle erreur.
J'espere que tu t'es relu, mon velu
INpactien
misterB
Le vendredi 30 juillet 2010 à 11:34:53
#56
Inscrit
le vendredi 22 octobre 04
-
133168
commentaires
Faut vraiment être un neuneu pour accepter qu'un papier peint accède au réseau...
Ca m'est arrivé quand j'ai voulu installer un live wallpaper. Il ne s'est jamais retrouvé sur mon pc...
Ca m'est arrivé quand j'ai voulu installer un live wallpaper. Il ne s'est jamais retrouvé sur mon pc...
non un utilisateur Lambda, pas un geek
INpactienne
Amy T.
Le vendredi 30 juillet 2010 à 11:35:34
#57
Inscrite
le mardi 29 juillet 08
-
1875
commentaires
Moi je tiens mon iPhone fermement de la main gauche et aucune donnée personnelle n'est transmise. Ca c'est du feature...
INpactien
Roccomon
Le vendredi 30 juillet 2010 à 11:36:31
#58
Inscrit
le jeudi 15 juillet 10
-
75
commentaires
L'iPhone n'est pas inaccessible, donc un androUser est surtout éclairé sur les bride imposées pas Apple. Android sera surement bridé ailleurs mais rien à voir avec l'iphone.
Par contre je n'ose imaginer le nombre d'iphoneuser passer sur android...
Par contre je n'ose imaginer le nombre d'iphoneuser passer sur android...
INpactien
Dunaedine
Le vendredi 30 juillet 2010 à 11:36:53
#59
Inscrit
le samedi 7 janvier 06
-
15989
commentaires
J'espere que tu t'es relu, mon velu
Je montre juste l'incohérence de ta réponse. La question secrète ne suffit pas pour braquer des milliers de comptes. Il y a nécessaire un problème ailleurs. Maintenant je ne dis pas qu'Apple est forcément responsable de cet état de fait, j'ai juste qu'aucun Smartphone n'était protéger de ce genre d'ennuis. C'est faire croire à l'utilisateur qu'il ne doit pas réfléchir qui est dangereux.
Edité par Dunaedine le vendredi 30 juillet 2010 à 11:38
INpactien
De toutes façon un AndroUser c'est un gars frustré de pas avoir de iPhone
On dirait que ça mord pas aujourd'hui, c'est pas faute d'avoir lancé des amorces pourtant
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
