18 000 applications chinoises ont la fâcheuse tendance à dérober des SMS aux utilisateurs pour les envoyer vers des serveurs. Elles font appel à un kit de développement tiers centré sur la publicité, mais les utilisateurs européens ne sont a priori pas inquiétés.
C’est la deuxième fois en peu de temps qu’un kit de développement tiers est impliqué en Chine dans des problèmes de sécurité pour les données personnelles. La semaine dernière, Apple supprimait ainsi 256 applications de son App Store car elles récupéraient certaines informations personnelles, bien que peu sensibles, au détriment de l’utilisateur. Le problème touche cette fois Android et est la fois beaucoup plus vaste et moins grave.
Les SMS sont récupérés et expédiés vers un serveur
63 000 applications se servent à ce jour du SDK (Software Development Kit) proposé par la société chinoise Taomike pour afficher des publicités et permettre de réaliser des achats in-app. Sur ce lot, 18 000 d’entre elles interceptent les SMS reçus et émis pour les envoyer vers un serveur. L’objectif final n’est pas précisé, mais cela représente une importante quantité potentielle de données cette fois très personnelles.
Mais pourquoi le souci serait-il du coup moins grave ? D’une part, on reste sur un problème limité au marché chinois. Les utilisateurs des autres pays n’ont a priori rien à craindre selon Palo Alto Network, qui a fait la découverte. D’autre part, ce SDK ne peut pas être utilisé avec des applications publiées sur la boutique Google Play. Le problème ne touche donc que les autres Stores non officiels. Enfin, Android 4.4 et les versions plus récentes nécessitent de déclarer une application comme gestionnaire par défaut des SMS pour qu’elle ait pleinement accès aux messages.
Rien n'empêche le scénario de se reproduire ailleurs
Cela étant, Palo Alto Networks estime que le nombre d’applications pratiquant ce genre d’action va augmenter car la bibliothèque l’autorisant fait partie de la dernière révision du SDK, disponible depuis août. En outre, la Chine n’est pas le seul pays où des SDK tiers peuvent être utilisés pour créer des applications qui seront distribuées par des moyens détournés. En clair, rien n’empêche d’autres entreprises dans le monde de proposer de tels kits, et la situation pourrait donc se répéter dans d’autres marchés.
La société de sécurité encourage les développeurs à faire attention quand ils utilisent ce genre de SDK et à rapporter tout comportement problématique. On rappellera de notre côté aux utilisateurs que l’utilisation des boutiques tierces réclame d’accorder un soin particulier à ce qui est installé car les règles et les garanties sont beaucoup moins nombreuses que sur le Store officiel.
