18 000 applications chinoises ont la fâcheuse tendance à dérober des SMS aux utilisateurs pour les envoyer vers des serveurs. Elles font appel à un kit de développement tiers centré sur la publicité, mais les utilisateurs européens ne sont a priori pas inquiétés.
C’est la deuxième fois en peu de temps qu’un kit de développement tiers est impliqué en Chine dans des problèmes de sécurité pour les données personnelles. La semaine dernière, Apple supprimait ainsi 256 applications de son App Store car elles récupéraient certaines informations personnelles, bien que peu sensibles, au détriment de l’utilisateur. Le problème touche cette fois Android et est la fois beaucoup plus vaste et moins grave.
Les SMS sont récupérés et expédiés vers un serveur
63 000 applications se servent à ce jour du SDK (Software Development Kit) proposé par la société chinoise Taomike pour afficher des publicités et permettre de réaliser des achats in-app. Sur ce lot, 18 000 d’entre elles interceptent les SMS reçus et émis pour les envoyer vers un serveur. L’objectif final n’est pas précisé, mais cela représente une importante quantité potentielle de données cette fois très personnelles.
Mais pourquoi le souci serait-il du coup moins grave ? D’une part, on reste sur un problème limité au marché chinois. Les utilisateurs des autres pays n’ont a priori rien à craindre selon Palo Alto Network, qui a fait la découverte. D’autre part, ce SDK ne peut pas être utilisé avec des applications publiées sur la boutique Google Play. Le problème ne touche donc que les autres Stores non officiels. Enfin, Android 4.4 et les versions plus récentes nécessitent de déclarer une application comme gestionnaire par défaut des SMS pour qu’elle ait pleinement accès aux messages.
Rien n'empêche le scénario de se reproduire ailleurs
Cela étant, Palo Alto Networks estime que le nombre d’applications pratiquant ce genre d’action va augmenter car la bibliothèque l’autorisant fait partie de la dernière révision du SDK, disponible depuis août. En outre, la Chine n’est pas le seul pays où des SDK tiers peuvent être utilisés pour créer des applications qui seront distribuées par des moyens détournés. En clair, rien n’empêche d’autres entreprises dans le monde de proposer de tels kits, et la situation pourrait donc se répéter dans d’autres marchés.
La société de sécurité encourage les développeurs à faire attention quand ils utilisent ce genre de SDK et à rapporter tout comportement problématique. On rappellera de notre côté aux utilisateurs que l’utilisation des boutiques tierces réclame d’accorder un soin particulier à ce qui est installé car les règles et les garanties sont beaucoup moins nombreuses que sur le Store officiel.
Commentaires (34)
#1
C’est la conception même d’Android qui est en cause.
Heureusement la 6.0 semble essayer de rattraper le tir avec son système de permissions “à la volée”.
#2
Je ne suis pas d’accord.
J’apprécie la liberté laissée par Android d’aller chercher des applications ailleurs, et j’accepte l’inśecurité qui en découle.
Ce qui est en cause, c’est la diffusion dans le public de la connaissance du lien application hors Google -> WTF sécurité.
#3
Moi qui croyais que les gens avait compris qu’avec les store alternatif il y avait des risques…
#4
#5
Si les gens ne font pas attention c’est leur problème, c’est pas comme si on pouvait télécharger des applications ne venant pas du Store officiel par défaut.
#6
C’est quand même un peu ouf ce chiffre, 18.000, les gens parcourent vraiment une liste de 18.000 applications avant de changer leur appli de gestion des SMS par défaut ?
Je sais pas tu cherches à remplacer ton appli qui gère les SMS tu fais le tour des 2 ou 3 plus connues et tu fais ton choix mais alors prendre la 13.486ème, hors Play Store, qui en plus affiche de la pub, j’ai envie de te dire bien fait.
#7
Ben je croyais que les gens qui ouvrir systématiquement les pièces jointes ne savaient pas installer de store alternatif!
" />
#8
Pour les 4.4 et plus récent, pour les anciennes version je suppose que ça peut être des appli tierce!^^
#9
Ah oui exact
" />
#10
A moins que je ne me trompe, je ne pense pas que les applis en question soient des gestionnaires de SMS.
" /> …
" />
Elles ont juste le droit d’accéder aux SMS pour que le SDK utilisé puisse (probablement) cibler les pubs affichées dans les applis en question.
Je sais pas si je suis bien clair
EDIT : bon bah, grilled !
#11
Vu qu’en Chine il n’est pas possible d’accéder au play store sans VPN, les chinois n’ont pas trop le choix, il n’y a que les stores alternatifs d’accessible.
#12
Ouais j’ai juste lu ce passage trop vite :
Android 4.4 et les versions plus récentes nécessitent de déclarer une application comme gestionnaire par défaut des SMS pour qu’elle ait pleinement accès aux messages
Je ne connais pas la répartition de la fragmentation en Chine mais pour ceux ayant du pré-4.4 ils n’ont pas besoin de le mettre en application de gestion des SMS par défaut.
#13
Quand on voit le nombre d’application qui exigent le droit d’accéder aux messages persos, ca m’étonnerait beaucoup qu’il n’y ait pas beaucoup plus d’envois non autorisés vers des serveurs louches.
#14
#15
Je vois pas trop le rapport, je dis pas que les store officiel sont sans risques, je dis que les alternatifs en ont plus! ;) La part exemple, google est au courant, mais peut rien faire…
#16
#17
Google ne peut doublement rien faire en Chine, store officiel inaccessible mais aussi site officiel pour le SDK inaccessible. Pour Apple, les développeurs ont fait le choix délibéré d’utiliser un SDK ne venant pas du site officiel, en Chine les développeurs Android ne peuvent pas ‘légalement’ téléchargé le SDK sur le site officiel.
Donc 2 fois plus de chances d’avoir une app vérolée.
#18
Eduquer sa famille c’est bien, ses amis, c’est cool, mais aller éduquer tous tes voisins & +, on va te prendre pour un fou
" />
#19
Il y avais en faite le même pb pour les dev Apple qui était limité par le dl du sdk sur les serveur officiel (vive la chine).
N’empêche que une fois détecter Apple à dégager les applis.
La google ne peut pas le faire ( comme Apple ne pourrais pas non plus si c’était un store alternatif).
Je vois pas comment avoir 2 fois plus de chances d’avoir une app vérolée sur le store officiel Apple… Le nombre d’app dans les 2 cas le montre bien…
#20
Le 2 fois plus c’était pour Android puisque pas de store officiel dispo et pas de SDK officiel dispo. Je suis en Chine et pour mes apps(si possible) je mets a jour par le store officiel via VPN. Je n’ai pas confiance avec les stores alternatifs (même les stores Huawei et Xiaomi). Mais pour la grande majorité, les chinois n’ont pas de VPN.
#21
#22
Ahhhhh!!!! oki je comprenais pas!
" />
#23
#24
Tant que tu ne sais pas qui a packagé l’APK, oui
" />
Et au passage, tu peux aussi te méfier des apps sur le Play store … et même sur tous les stores … il y a toujours des risques en fait … mais sur les alternatifs, encore plus oui …
#25
La tare d’Androïd éclairée par Odidoub n’est pas la présence des stores alternatifs.
Mais le fait que n’importe quel droit peut être demandé par le développeur.
On a déjà vu une appli ‘lampe torche’ demander l’accès à la liste des contacts, aux message…
#26
Disons que, depuis la 4.0 d’Androïd, il est nécessaire d’activer une option dans les paramètres de développeur de ton téléphone (masquée depuis la 4.4.4 d’ailleurs sans la manip idoine) pour pouvoir installer une app ne provenant pas du Play Store officiel. Déjà, ça limite la casse. La bidouille en questio pour faire réapparaitre le meni de développement n’est pas forcément évidente à trouver en plus.
#27
Pareil pour des jeux. A chacun (en attendant Androïd 6.x) de regarder. Pareil pour les installations automatiques des mises à jour.
#28
Mais même les personnes réfractaires à l’informatique comprennent que ce n’est pas normal et refusent.
Curiosité: Autour de moi, je vois de telles personnes parfaitement se débrouiller avec leur smartphone alors que le PC les mets mal à l’aise. Inclus navigation web et email mieux maitrisée depuis l’objet qui n’a pas la forme d’un PC alors on ne sait pas que c’est un ordinateur quand même…
#29
Non, après, c’est toi qui est spammé à cause des gens qui se sont fait aspirer leur liste de contacts :/
#30
En Chine les téléphones sont vendus sans playstore ca aide pas :)