Market Place : une fausse application de fond d'écran pirate vos données
par kasimodemUne mystérieuse application du Market Place dissimulée sous la forme d'un fond d'écran téléchargeable gratuitement piratait en fait vos données personnelles et les envoyaient sur un serveur chinois.
La conférence annuelle Black Hat qui s'est tenu du 24 au 27 juillet 2010 à Las Vegas a été l'occasion de mettre en avant de nombreux travaux de recherche sur les failles de tous les systèmes informatiques existants. Elle donne généralement lieu à une série de publications sur ces failles, et également des corrections possibles de la part des éditeurs et constructeurs concernés.
Au sujet d'Android, un système ouvert et encore en pleine croissance, il a été mis en avant une application anodine en apparence, mais qui semble déjà avoir fait de nombreuses victimes de par le monde. Il s'agit d'un utilitaire de fond d'écran diffusé via le MarketPlace qui une fois installé collecte des données privées sur les terminaux et les envoient vers un serveur en Chine. Cela a donc relancé le débat sur la liberté donnée aux développeurs sur le MarketPlace et le type de données collectées par ces applications et leur usage.
La société Lookout, spécialisée en vigilance sur les produits mobiles, explique que "même une bonne application peut être modifiée pour devenir mauvaise après que beaucoup de gens l'aient téléchargée. Les utilisateurs doivent absolument faire attention à ce qu'ils téléchargent, et les développeurs doivent être responsables sur les données qu'ils collectent et comment ils les utilisent."
L'application citée lors de la conférence venait de Jackeey Wallpaper et proposait entre autres des fonds d'écrans "mon petit poney" et "Starwars". Une fois installée, elle était capable de récupérer votre numéro de mobile, votre identifiant opérateur, et votre numéro de serveur vocal si tous ces renseignements étaient renseignés sur le téléphone. Le tout était renvoyé vers le site imnet.us enregistré à Shenzhen en Chine.
On estime que l'application a été téléchargée entre 1,1 et 4,6 millions de fois, chiffre peu précis dans la mesure où le MarketPlace ne délivre pas de statistiques fiables. Lors de l'installation, l'application demandait à accéder aux appels téléphoniques, mais l'avertissement n'est pas suffisamment explicite pour éveiller les soupçons.
Lookout précise que bien que les applications que nous installons sur Android demandent toujours l'autorisation d'accès sur les modules dont elles ont besoin, nous ne sommes généralement pas suffisamment vigilants pour nous méfier et vérifier ces accès demandés. Cependant Android est plus sécurisé que l'iOS de l'iPhone d'Apple sur ce point puisque qu'aucune demande de vérification d'habilitations n'est émise lorsque l'on installe une application iPhone de l'AppStore, à comparer toutefois au fait que 47% des applications Android nécessitent un accès à des données sensibles du téléphone contre 23% seulement sous iOS. Il faut également inclure les modules externes intégrés dans les applications qui sont souvent des développements de sociétés tierces et qui récoltent souvent des données personnelles, comme les modules publicitaires par exemple.
La société de sécurité conclut qu'Apple et Google sont très au fait de la garantie de sécurité à apporter aux utilisateurs sur leurs stores respectifs, mais que les politiques de contrôles et de retrait en cas de problèmes ne sont pas tout à fait claires.
L'application de faux wallpaper a été retirée du MarketPlace par Google dès le problème identifié, puis, après quelques jours de vérification et correction, elle vient d'être réactivée sur le Market Place.
