S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Des apps papier-peint sous Android récupèrent des infos personnelles

Faut-il vraiment un n° de téléphone pour changer de wallpaper ?

Lors de la conférence Black Hat de Las Vegas des chercheurs de la société de sécurité sur mobile Lookout ont expliqué avoir étudié plusieurs applications de papiers-peints pour Android qui accédaient sans raison valable à des informations personnelles sur le téléphone, et les envoyaient sur un serveur en Chine.

app papier peint android

Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.

En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.

Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.

Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.

En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Publiée le 30/07/2010 à 10:52

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 167 commentaires

Avatar de j-c_32 INpactien
j-c_32 Le vendredi 30 juillet 2010 à 16:00:08
Inscrit le jeudi 11 juin 09 - 2282 commentaires
Eh oui, comme quoi, les discours libristes sur la responsabilisation de l'utilisateur face à la sécurité de son système, ds la pratique, ça ne marche pas.

Je mors un peu à l'hameçon, mais moi, j'interprète ça plutôt dans le sens opposé:
Ceux qui ont cliqué sans lire n'ont pas conscience qu'ils sont responsables.
C'est plutôt un constat d'échec du modèle "faisons tout à la place de l'utilisateur", qui a mené à sa déresponsabilisation, et dont le comportement aberrant de l'utilisateur est une conséquence.
C'est d'autant plus grave qu'à moins d'envisager une censure du web, l'utilisateur devra tjrs faire preuve de jugeote pour éviter de se faire avoir.
Avatar de Dunaedine INpactien
Dunaedine Le vendredi 30 juillet 2010 à 16:04:32
Inscrit le samedi 7 janvier 06 - 15989 commentaires
Je mors un peu à l'hameçon, mais moi, j'interprète ça plutôt dans le sens opposé:
Ceux qui ont cliqué sans lire n'ont pas conscience qu'ils sont responsables.
C'est plutôt un constat d'échec du modèle "faisons tout à la place de l'utilisateur", qui a mené à sa déresponsabilisation, et dont le comportement aberrant de l'utilisateur est une conséquence.
C'est d'autant plus grave qu'à moins d'envisager une censure du web, l'utilisateur devra tjrs faire preuve de jugeote pour éviter de se faire avoir.


+1 mais bon, commencer à vouloir y mêler le discours libriste, toussa, c'est juste un troll... Juste à peine moins insultant que le commentaire juste au-dessus du siens qui a été swordé.
Avatar de cabarca INpactien
cabarca Le vendredi 30 juillet 2010 à 16:11:43
Inscrit le mardi 29 juin 10 - 754 commentaires

+1 mais bon, commencer à vouloir y mêler le discours libriste, toussa, c'est juste un troll... Juste à peine moins insultant que le commentaire juste au-dessus du siens qui a été swordé.


Le troll, je persiste c'est toi.

Quand on confond un compte iTunes Store avec l'iPhone, l'appareil. C'est qu'on trolle.

Point barre.
Avatar de j-c_32 INpactien
j-c_32 Le vendredi 30 juillet 2010 à 16:14:28
Inscrit le jeudi 11 juin 09 - 2282 commentaires

+1 mais bon, commencer à vouloir y mêler le discours libriste, toussa, c'est juste un troll... Juste à peine moins insultant que le commentaire juste au-dessus du siens qui a été swordé.

Oui, d'autant plus que le débat: "responsabilisation des utilisateurs" / "sécurisation des utilisateurs en restreignant leurs possibilités" n'est pas forcément inhérent au libre. À l'inverse, sous Windows et Mac, l'utilisateur est à 100% responsables des programmes qu'il installe tandis que sous Linux, il a la possibilité de faire confiance aux dépôts "validés" par la distribution.

D'ailleurs, existe-il cette troisième voie sous Android: un store (pas forcément géré par Google) "testé et approuvé par des experts" ?
Avatar de sylnivhp INpactien
sylnivhp Le vendredi 30 juillet 2010 à 16:16:20
Inscrit le samedi 11 février 06 - 6009 commentaires


Problèmes sous Androïde qui donnent fight Apple Fanboy vs autres....!

c'est d'un complexe toussa!

complexe mais divertissant!

A quand le smiley popcorn PCI spécial s'enfoutboy ?
Avatar de cabarca INpactien
cabarca Le vendredi 30 juillet 2010 à 16:19:05
Inscrit le mardi 29 juin 10 - 754 commentaires


Problèmes sous Androïde qui donnent fight Apple Fanboy vs autres....!

c'est d'un complexe toussa!

complexe mais divertissant!

A quand le smiley popcorn PCI spécial s'enfoutboy ?


si tu t'en fous, pourquoi lire ou participer ?
Avatar de ano_635110013168370034 INpactien
ano_635110013168370034 Le vendredi 30 juillet 2010 à 16:21:43
Inscrit le mardi 19 juillet 05 - 8330 commentaires

D'ailleurs, existe-il cette troisième voie sous Android: un store (pas forcément géré par Google) "testé et approuvé par des experts" ?


C'est un peu le rôle que je donnais a l'Android market mais à priori, ça marche pas comme ça

Après, sauf faille restant à découvrir, au moins quand tu désinstalle un appli, tu peux être sûr qu'elle ne laisse rien trainer derrière elle, c'est déjà un plus par rapport à un OS plus permissif (exepté avec une autorisation spéciale que je n'ai vu jusqu à maintenant que pour les applis installant d'autres applis, les markets quoi).
Avatar de sylnivhp INpactien
sylnivhp Le vendredi 30 juillet 2010 à 16:21:57
Inscrit le samedi 11 février 06 - 6009 commentaires

si tu t'en fous, pourquoi lire ou participer ?


Je l'ai dis, c'est divertissant !

Et je vous en remercie!
Avatar de cabarca INpactien
cabarca Le vendredi 30 juillet 2010 à 16:24:51
Inscrit le mardi 29 juin 10 - 754 commentaires

Je l'ai dis, c'est divertissant !

Et je vous en remercie!


Ben voilà, au revoir alors.
Avatar de doctor madness INpactien
doctor madness Le vendredi 30 juillet 2010 à 16:26:59
Inscrit le lundi 30 novembre 09 - 2019 commentaires
Oui, d'autant plus que le débat: "responsabilisation des utilisateurs" / "sécurisation des utilisateurs en restreignant leurs possibilités" n'est pas forcément inhérent au libre. À l'inverse, sous Windows et Mac, l'utilisateur est à 100% responsables des programmes qu'il installe tandis que sous Linux, il a la possibilité de faire confiance aux dépôts "validés" par la distribution.


je pense qu'il n'y a meme pas cet antagonisme sécurité/responsabilité.
On le voit bien, celui qui est le plus responsable est souvent celui qui est le plus sécurisé. je n'ai encore jamais d'utilisateur autant informé des outils et des failles de sécurité qu'un utilisateur plus impliqué.
il en va de meme dans d'autres domaines (aéronautique, automobile, juridique, commercial...)

Créé cet antagonisme n'est qu'un moyen de vendre la sécurité, alors que c'est fondamentalement gratuit (sinon on appelle ca du chantage ou de l'extorsion), en faisant croire qu'on se débarrasse de la responsabilité, alors qu'on oublie la septième astérisque du contrat (et on en revient au domaine juridique et commercial)

donc +1 aux propos de j-c_32
;