Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

En Chine, 18 000 applications Android volent les SMS des utilisateurs

Encore un SDK dédié à la publicité
Mobilité 2 min
En Chine, 18 000 applications Android volent les SMS des utilisateurs
Crédits : Gajus/iStock

18 000 applications chinoises ont la fâcheuse tendance à dérober des SMS aux utilisateurs pour les envoyer vers des serveurs. Elles font appel à un kit de développement tiers centré sur la publicité, mais les utilisateurs européens ne sont a priori pas inquiétés.

C’est la deuxième fois en peu de temps qu’un kit de développement tiers est impliqué en Chine dans des problèmes de sécurité pour les données personnelles. La semaine dernière, Apple supprimait ainsi 256 applications de son App Store car elles récupéraient certaines informations personnelles, bien que peu sensibles, au détriment de l’utilisateur. Le problème touche cette fois Android et est la fois beaucoup plus vaste et moins grave.

Les SMS sont récupérés et expédiés vers un serveur

63 000 applications se servent à ce jour du SDK (Software Development Kit) proposé par la société chinoise Taomike pour afficher des publicités et permettre de réaliser des achats in-app. Sur ce lot, 18 000 d’entre elles interceptent les SMS reçus et émis pour les envoyer vers un serveur. L’objectif final n’est pas précisé, mais cela représente une importante quantité potentielle de données cette fois très personnelles.

Mais pourquoi le souci serait-il du coup moins grave ? D’une part, on reste sur un problème limité au marché chinois. Les utilisateurs des autres pays n’ont a priori rien à craindre selon Palo Alto Network, qui a fait la découverte. D’autre part, ce SDK ne peut pas être utilisé avec des applications publiées sur la boutique Google Play. Le problème ne touche donc que les autres Stores non officiels. Enfin, Android 4.4 et les versions plus récentes nécessitent de déclarer une application comme gestionnaire par défaut des SMS pour qu’elle ait pleinement accès aux messages.

Rien n'empêche le scénario de se reproduire ailleurs

Cela étant, Palo Alto Networks estime que le nombre d’applications pratiquant ce genre d’action va augmenter car la bibliothèque l’autorisant fait partie de la dernière révision du SDK, disponible depuis août. En outre, la Chine n’est pas le seul pays où des SDK tiers peuvent être utilisés pour créer des applications qui seront distribuées par des moyens détournés. En clair, rien n’empêche d’autres entreprises dans le monde de proposer de tels kits, et la situation pourrait donc se répéter dans d’autres marchés.

La société de sécurité encourage les développeurs à faire attention quand ils utilisent ce genre de SDK et à rapporter tout comportement problématique. On rappellera de notre côté aux utilisateurs que l’utilisation des boutiques tierces réclame d’accorder un soin particulier à ce qui est installé car les règles et les garanties sont beaucoup moins nombreuses que sur le Store officiel.

34 commentaires
Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 29/10/15 à 07:51:49

C'est la conception même d'Android qui est en cause.
Heureusement la 6.0 semble essayer de rattraper le tir avec son système de permissions "à la volée".

Avatar de levhieu INpactien
Avatar de levhieulevhieu- 29/10/15 à 08:03:26

Je ne suis pas d'accord.

J'apprécie la liberté laissée par Android d'aller chercher des applications ailleurs, et j'accepte l'inśecurité qui en découle.

 Ce qui est en cause, c'est la diffusion dans le public de la connaissance du lien application hors Google -> WTF sécurité.

Avatar de latlanh INpactien
Avatar de latlanhlatlanh- 29/10/15 à 08:05:23

Moi qui croyais que les gens avait compris qu'avec les store alternatif il y avait des risques...

Avatar de anonyme_95bde7ad91b4483068f10094cf1c28ca INpactien

latlanh a écrit :

Moi qui croyais que les gens avait compris qu'avec les store alternatif il y avait des risques...

les gens n'ont toujours pas compris de ne pas ouvrir systématiquement les pièces jointes, ni de faire attention au phishing, et ... alors leur dire de ne pas aller sur d'autres stores, c'est même pas la peine d'y penser

Avatar de FDN INpactien
Avatar de FDNFDN- 29/10/15 à 08:18:10

Si les gens ne font pas attention c'est leur problème, c'est pas comme si on pouvait télécharger des applications ne venant pas du Store officiel par défaut.

Avatar de Soltek INpactien
Avatar de SoltekSoltek- 29/10/15 à 08:18:37

C'est quand même un peu ouf ce chiffre, 18.000, les gens parcourent vraiment une liste de 18.000 applications avant de changer leur appli de gestion des SMS par défaut ?
Je sais pas tu cherches à remplacer ton appli qui gère les SMS tu fais le tour des 2 ou 3 plus connues et tu fais ton choix mais alors prendre la 13.486ème, hors Play Store, qui en plus affiche de la pub, j'ai envie de te dire bien fait.

Avatar de latlanh INpactien
Avatar de latlanhlatlanh- 29/10/15 à 08:18:42

Ben je croyais que les gens qui ouvrir systématiquement les pièces jointes ne savaient pas installer de store alternatif! :D

Avatar de latlanh INpactien
Avatar de latlanhlatlanh- 29/10/15 à 08:20:35

Pour les 4.4 et plus récent, pour les anciennes version je suppose que ça peut être des appli tierce!^^

Avatar de Soltek INpactien
Avatar de SoltekSoltek- 29/10/15 à 08:23:42

Ah oui exact :chinois:

Avatar de trshbn INpactien
Avatar de trshbntrshbn- 29/10/15 à 08:26:13

A moins que je ne me trompe, je ne pense pas que les applis en question soient des gestionnaires de SMS.
Elles ont juste le droit d'accéder aux SMS pour que le SDK utilisé puisse (probablement) cibler les pubs affichées dans les applis en question.
Je sais pas si je suis bien clair :transpi: ...

EDIT : bon bah, grilled ! :pleure:

Édité par trshbn le 29/10/2015 à 08:28
Il n'est plus possible de commenter cette actualité.
Page 1 / 4