Des apps papier-peint sous Android récupèrent des infos personnelles
Faut-il vraiment un n° de téléphone pour changer de wallpaper ?
Lors de la conférence Black Hat de Las Vegas des chercheurs de la société de sécurité sur mobile Lookout ont expliqué avoir étudié plusieurs applications de papiers-peints pour Android qui accédaient sans raison valable à des informations personnelles sur le téléphone, et les envoyaient sur un serveur en Chine.
Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.
En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.
Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.
Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.
En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.
En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.
Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.
Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.
En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Jeff,
Le 30 juillet 2010 à 10:52
(20 098
lectures)
Il y a 167 commentaires
INpactien
doctor madness
Le vendredi 30 juillet 2010 à 14:11:24
#111
Inscrit
le lundi 30 novembre 09
-
1905
commentaires
Eh oui, comme quoi, les discours libristes sur la responsabilisation de l'utilisateur face à la [strike]sécurité de son système[/strike] société , ds la pratique, ça ne marche pas. 
Copyright Staline
Edité par doctor madness le vendredi 30 juillet 2010 à 14:15
Modérateur
atomusk
Le vendredi 30 juillet 2010 à 14:11:50
#112
Inscrit
le mardi 20 juillet 04
-
19844
commentaires
Elle accédait au numéro de téléphone du possesseur (champs dédié) d'iphone si ce dernier avait rempli le champs (facultatif).
Oui, en gros, si l'utilisateur veux partager son numero, l'app le récupere et le diffuse ... moins grave que ce que je pensait en effet
INpactien
doctor madness
Le vendredi 30 juillet 2010 à 14:13:02
#113
Inscrit
le lundi 30 novembre 09
-
1905
commentaires
C'ets vrai que l'utilisateur lamba clique toujours sur suivant lors de l'installation d'un logiciel...
C'est comme ça qu'il se retrouve avec la barre yahoo! plus la barre ask + la barre... + plein de logiciels qu'il ne voulait pas.
Je continue à penser que l'utilisateur lambda est quand même con. C'ets pas bien compliqué de lire, non?
C'est comme ça qu'il se retrouve avec la barre yahoo! plus la barre ask + la barre... + plein de logiciels qu'il ne voulait pas.
Je continue à penser que l'utilisateur lambda est quand même con. C'ets pas bien compliqué de lire, non?
dans tous les domaines qui demandent un apprentissage supérieur à 3 minutes, "lambda" signifie "con"
Mal éduqué surement. Quoi qu'il arrive même en lançant des petites alertes dans la famille proche, je peux te dire que je suis souvent en train de nettoyer le PC des autres (toujours sous windows, jamais sur Ubuntu !)
Je vous vois arriver, ma famille ou amis prochent ne sont pas plus neuneu que les autres, mais à part ceux qui comprennent le fonctionnement d'un PC tout le monde clique sur suivant sans rien lire !
Je vous vois arriver, ma famille ou amis prochent ne sont pas plus neuneu que les autres, mais à part ceux qui comprennent le fonctionnement d'un PC tout le monde clique sur suivant sans rien lire !
Idem pour les contrats de :
FAI
Electricité
Téléphonie
Prêt immobilier
Acte de vente...
Il faut CONSOMMER, c'est le leitmotiv a la mode.
je suis d'accord mais le truc c'est qu'ensuite ils viennent pas gueuler sur leurs données éparpillées a travers le monde a cause de gentils dev qui ne l'ont pas exprès (la meilleur depuis longtemps)
En meme temps vanessa elle a envoyé ses dedipix a tout le collège, alors...
Modérateur
atomusk
Le vendredi 30 juillet 2010 à 14:13:03
#114
Inscrit
le mardi 20 juillet 04
-
19844
commentaires
INpactien
On veux tenter un corrolaire de Godwin du vendredi ?
je cherchais une formulation, pas mal trouvé 
INpactien
@Origami : Mettre "utilisateur" et "doit réfléchir" dans une même phrase, j'avoue, il fallait oser. 
La problématique est hélas la même depuis la démocratisation de l'informatique et cela ne finira sans doute jamais, même si cela devrait probablement s'atténuer lorsque la génération numérique aura remplacé l'actuelle.
La problématique est hélas la même depuis la démocratisation de l'informatique et cela ne finira sans doute jamais, même si cela devrait probablement s'atténuer lorsque la génération numérique aura remplacé l'actuelle.
INpactien
doctor madness
Le vendredi 30 juillet 2010 à 14:16:35
#117
Inscrit
le lundi 30 novembre 09
-
1905
commentaires
On veux tenter un corrolaire de Godwin du vendredi ?
Le point faucille on pourrait l'appeler :)
Toujours est il que privilégier la sécurité (dictée par autrui) à la liberté d'un individu, ca me laisse un gout assez amer dans la bouche
INpactien
pafLaXe
Le vendredi 30 juillet 2010 à 14:19:52
#118
Inscrit
le mardi 19 juillet 05
-
8311
commentaires
@Origami : Mettre "utilisateur" et "doit réfléchir" dans une même phrase, j'avoue, il fallait oser.
La problématique est hélas la même depuis la démocratisation de l'informatique et cela ne finira sans doute jamais, même si cela devrait probablement s'atténuer lorsque la génération numérique aura remplacé l'actuelle.
La problématique est hélas la même depuis la démocratisation de l'informatique et cela ne finira sans doute jamais, même si cela devrait probablement s'atténuer lorsque la génération numérique aura remplacé l'actuelle.
Permet moi très serieusement d'en douter. La génération numérique, comme tu l'appelle, ne saura sans doute pas mieux se servir du numerique, elle saura juste comment profiter des services offert via ce moyen de communication, sans plus réfléchir qu'aujourd'hui à ce qui peut se passer dans son dos avec ses données et ses stats.
Modérateur
atomusk
Le vendredi 30 juillet 2010 à 14:20:59
#119
Inscrit
le mardi 20 juillet 04
-
19844
commentaires
@Origami : Mettre "utilisateur" et "doit réfléchir" dans une même phrase, j'avoue, il fallait oser.
La problématique est hélas la même depuis la démocratisation de l'informatique et cela ne finira sans doute jamais, même si cela devrait probablement s'atténuer lorsque la génération numérique aura remplacé l'actuelle.
La problématique est hélas la même depuis la démocratisation de l'informatique et cela ne finira sans doute jamais, même si cela devrait probablement s'atténuer lorsque la génération numérique aura remplacé l'actuelle.
Apres je ne dis pas que le systeme de google est parfait ... imaginer un systeme de "pré-screening" avec 5 mecs qui regardent :
- Description
- droits demandés
- voir une execution rapide de l'app
ça ne retarderai pas "significativement" le lancement de l'app, et ça limiterai les scenarios "grotesques" dont la news traite ...
Ca n'empechera pas les escrocs, et autres exploitations de failles, mais ça serait largement moins ridicule ... un wallpaper qui demande l'acces au carnet d'adresses
INpactien
jeanfrederic
Le vendredi 30 juillet 2010 à 14:21:37
#120
Inscrit
le samedi 11 décembre 04
-
221
commentaires
l e fon d'écran GoogleMaps ilé chouet
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable pendant 14 heures -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable pendant 14 heures
