Des apps papier-peint sous Android récupèrent des infos personnelles
Faut-il vraiment un n° de téléphone pour changer de wallpaper ?
Lors de la conférence Black Hat de Las Vegas des chercheurs de la société de sécurité sur mobile Lookout ont expliqué avoir étudié plusieurs applications de papiers-peints pour Android qui accédaient sans raison valable à des informations personnelles sur le téléphone, et les envoyaient sur un serveur en Chine.
Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.
En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.
Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.
Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.
En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.
En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.
Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.
Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.
En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Jeff,
Le 30 juillet 2010 à 10:52
(20 101
lectures)
Il y a 167 commentaires
INpactien
misterB
Le vendredi 30 juillet 2010 à 11:56:18
#81
Inscrit
le vendredi 22 octobre 04
-
133208
commentaires
un peu de nourriture
Gizmodo US est plus précis sur ce point
This is a routine update of your daily data activity on your device to ensure the accuracy of your data billing. Customers are not charged for data usage, given that no data session is generated. It's not uncommon for devices that are ‘always on', like iPhone, to process data event records for billing purposes after a certain amount of inactivity or after long periods of time. It's also separate from how our system lets you monitor your data consumption.
INpactien
Roccomon
Le vendredi 30 juillet 2010 à 11:56:40
#82
Inscrit
le jeudi 15 juillet 10
-
75
commentaires
Rien ne vaut ecarte-bleue à numéro unique pour les achats sur internet. Ca ne coute rien et c'est tres pratique !
Laisser son numéro de carte sur un serveur dans le "nuage" internet c'est presque tendre le baton pour se faire battre...
Laisser son numéro de carte sur un serveur dans le "nuage" internet c'est presque tendre le baton pour se faire battre...
INpactien
Dunaedine
Le vendredi 30 juillet 2010 à 11:59:39
#83
Inscrit
le samedi 7 janvier 06
-
15989
commentaires
Sans vouloir te vexer, une vague de pishing, un regroupement / croisement de données de cette campagne, un réseau de bots et une attaque distribuée en bruteforce et n'importe quel compte faiblement protégé tombe, que ce soit iTunes, ou Android (qui est, si je dis pas de bêtise, une adresse GMail).
Pour faire des achats, sur iTunes, bon bah faut iTunes, mais je présume que pour Android, il suffit d'un téléphone Android et de se logger sous le compte piraté non ? (connais pas bien)
On pourra toujours regretter que ça arrive et que les gens sécurisent pas assez mais bon... en l'état des choses, les utilisateurs peuvent s'en prendre qu'à eux même...
Pour faire des achats, sur iTunes, bon bah faut iTunes, mais je présume que pour Android, il suffit d'un téléphone Android et de se logger sous le compte piraté non ? (connais pas bien)
On pourra toujours regretter que ça arrive et que les gens sécurisent pas assez mais bon... en l'état des choses, les utilisateurs peuvent s'en prendre qu'à eux même...
Oui mais dans ce que tu décris, ce n'est pas la question secrète qui est à l'origine du problème non? C'est donc différent de ce qu'affirme Cabarca. Si l'origine du problème est un mot de passe trop faible, la faute est encore une fois sur l'utilisateur, même situation qu'ici, ce qui va bien dans mon sens: il n'y a pas besoins de failles, juste de comportement à risque (ce qui est le cas ici). Donc on est d'accord.
INpactien
[quote]Gizmodo US[strike] est plus précis sur ce point [/strike] est toujours meilleur que gizmodo FR qui est un site de pseudo information high tech...
[/quote]
[/quote]
Commentaire de
cabarca supprimé
le
01/01/1970 à 00:00:00
:
Boulet attitude
INpactienne
Amy T.
Le vendredi 30 juillet 2010 à 12:07:41
#86
Inscrite
le mardi 29 juillet 08
-
1875
commentaires
Oui mais dans ce que tu décris, ce n'est pas la question secrète qui est à l'origine du problème non? C'est donc différent de ce qu'affirme Cabarca. Si l'origine du problème est un mot de passe trop faible, la faute est encore une fois sur l'utilisateur, même situation qu'ici, ce qui va bien dans mon sens: il n'y a pas besoins de failles, juste de comportement à risque (ce qui est le cas ici). Donc on est d'accord.
Faiblement protégé, ça peut être le mot de passe (cf. la fameuse liste des 100 mots de passe les plus courants) ou la question secrète super obvious, que sais-je.
Mais j'avais pas bien compris ce que tu critiquais, c'était pas super clair (un app' vérolée / iTunes / les users)
INpactien
misterB
Le vendredi 30 juillet 2010 à 12:08:50
#87
Inscrit
le vendredi 22 octobre 04
-
133208
commentaires
depuis le iPhone4 ils l'ont mauvaise contre Apple
Et bientôt FB vu ce que vient de faire leur rédacteur Tabloidesque en la jouant paparazo et non journaliste
INpactien
UAC pour mobile :
"L'application 'Papier peint' tente d'accéder à votre n° de téléphone et votre carnet d'adresse. Voulez-vous l'y autoriser? "
'Seulement cette fois'
'Pas cette fois'
'Toujours'
'Jamais'
"L'application 'Papier peint' tente d'accéder à votre n° de téléphone et votre carnet d'adresse. Voulez-vous l'y autoriser? "
'Seulement cette fois'
'Pas cette fois'
'Toujours'
'Jamais'
INpactien
Kostadinov
Le vendredi 30 juillet 2010 à 12:19:04
#89
Inscrit
le samedi 7 novembre 09
-
3115
commentaires
C'est comme ça qu'il se retrouve avec la barre yahoo! plus la barre ask + la barre...
+1
- allo ? tu peux venir m'aider j'ai un problème avec mon ordinateur il rame...
- quand tu fais ctrl+alt+suppr / performance / uc utilisée = 100% ?
- oui
- trouve toi une petite amie
INpactien
depuis le iPhone4 ils l'ont mauvaise contre Apple
Et bientôt FB vu ce que vient de faire leur rédacteur Tabloidesque en la jouant paparazo et non journaliste
Et bientôt FB vu ce que vient de faire leur rédacteur Tabloidesque en la jouant paparazo et non journaliste
Je dois dire que leur parti pris outrancier durant l'antenagate m'a assez décu de leur part. Cela ne les grandit pas.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
90 € de remise pour l'achat de 12 Blu-ray
Valable jusqu'au 14 juillet -
40 % de remise pour l'achat de cinq DVD
Valable jusqu'au 25 août -
Deux adaptateurs CPL Netgear XAV1301 à 200 Mb/s : 19,90 €
Valable jusqu'au 24 mai -
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai
