En Chine, 18 000 applications Android volent les SMS des utilisateurs
Encore un SDK dédié à la publicité
Le 29 octobre 2015 à 07h32
3 min
Société numérique
Société
18 000 applications chinoises ont la fâcheuse tendance à dérober des SMS aux utilisateurs pour les envoyer vers des serveurs. Elles font appel à un kit de développement tiers centré sur la publicité, mais les utilisateurs européens ne sont a priori pas inquiétés.
C’est la deuxième fois en peu de temps qu’un kit de développement tiers est impliqué en Chine dans des problèmes de sécurité pour les données personnelles. La semaine dernière, Apple supprimait ainsi 256 applications de son App Store car elles récupéraient certaines informations personnelles, bien que peu sensibles, au détriment de l’utilisateur. Le problème touche cette fois Android et est la fois beaucoup plus vaste et moins grave.
Les SMS sont récupérés et expédiés vers un serveur
63 000 applications se servent à ce jour du SDK (Software Development Kit) proposé par la société chinoise Taomike pour afficher des publicités et permettre de réaliser des achats in-app. Sur ce lot, 18 000 d’entre elles interceptent les SMS reçus et émis pour les envoyer vers un serveur. L’objectif final n’est pas précisé, mais cela représente une importante quantité potentielle de données cette fois très personnelles.
Mais pourquoi le souci serait-il du coup moins grave ? D’une part, on reste sur un problème limité au marché chinois. Les utilisateurs des autres pays n’ont a priori rien à craindre selon Palo Alto Network, qui a fait la découverte. D’autre part, ce SDK ne peut pas être utilisé avec des applications publiées sur la boutique Google Play. Le problème ne touche donc que les autres Stores non officiels. Enfin, Android 4.4 et les versions plus récentes nécessitent de déclarer une application comme gestionnaire par défaut des SMS pour qu’elle ait pleinement accès aux messages.
Rien n'empêche le scénario de se reproduire ailleurs
Cela étant, Palo Alto Networks estime que le nombre d’applications pratiquant ce genre d’action va augmenter car la bibliothèque l’autorisant fait partie de la dernière révision du SDK, disponible depuis août. En outre, la Chine n’est pas le seul pays où des SDK tiers peuvent être utilisés pour créer des applications qui seront distribuées par des moyens détournés. En clair, rien n’empêche d’autres entreprises dans le monde de proposer de tels kits, et la situation pourrait donc se répéter dans d’autres marchés.
La société de sécurité encourage les développeurs à faire attention quand ils utilisent ce genre de SDK et à rapporter tout comportement problématique. On rappellera de notre côté aux utilisateurs que l’utilisation des boutiques tierces réclame d’accorder un soin particulier à ce qui est installé car les règles et les garanties sont beaucoup moins nombreuses que sur le Store officiel.
En Chine, 18 000 applications Android volent les SMS des utilisateurs
-
Les SMS sont récupérés et expédiés vers un serveur
-
Rien n'empêche le scénario de se reproduire ailleurs
Commentaires (30)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 29/10/2015 à 08h26
Vu qu’en Chine il n’est pas possible d’accéder au play store sans VPN, les chinois n’ont pas trop le choix, il n’y a que les stores alternatifs d’accessible.
Le 29/10/2015 à 08h28
Ouais j’ai juste lu ce passage trop vite :
Android 4.4 et les versions plus récentes nécessitent de déclarer une application comme gestionnaire par défaut des SMS pour qu’elle ait pleinement accès aux messages
Je ne connais pas la répartition de la fragmentation en Chine mais pour ceux ayant du pré-4.4 ils n’ont pas besoin de le mettre en application de gestion des SMS par défaut.
Le 29/10/2015 à 08h32
Quand on voit le nombre d’application qui exigent le droit d’accéder aux messages persos, ca m’étonnerait beaucoup qu’il n’y ait pas beaucoup plus d’envois non autorisés vers des serveurs louches.
Le 29/10/2015 à 09h03
Le 29/10/2015 à 09h06
Je vois pas trop le rapport, je dis pas que les store officiel sont sans risques, je dis que les alternatifs en ont plus! ;) La part exemple, google est au courant, mais peut rien faire…
Le 29/10/2015 à 09h08
Le 29/10/2015 à 09h16
Google ne peut doublement rien faire en Chine, store officiel inaccessible mais aussi site officiel pour le SDK inaccessible. Pour Apple, les développeurs ont fait le choix délibéré d’utiliser un SDK ne venant pas du site officiel, en Chine les développeurs Android ne peuvent pas ‘légalement’ téléchargé le SDK sur le site officiel.
Donc 2 fois plus de chances d’avoir une app vérolée.
Le 29/10/2015 à 09h40
Eduquer sa famille c’est bien, ses amis, c’est cool, mais aller éduquer tous tes voisins & +, on va te prendre pour un fou
" />
Le 29/10/2015 à 09h45
Il y avais en faite le même pb pour les dev Apple qui était limité par le dl du sdk sur les serveur officiel (vive la chine).
N’empêche que une fois détecter Apple à dégager les applis.
La google ne peut pas le faire ( comme Apple ne pourrais pas non plus si c’était un store alternatif).
Je vois pas comment avoir 2 fois plus de chances d’avoir une app vérolée sur le store officiel Apple… Le nombre d’app dans les 2 cas le montre bien…
Le 29/10/2015 à 09h58
Le 2 fois plus c’était pour Android puisque pas de store officiel dispo et pas de SDK officiel dispo. Je suis en Chine et pour mes apps(si possible) je mets a jour par le store officiel via VPN. Je n’ai pas confiance avec les stores alternatifs (même les stores Huawei et Xiaomi). Mais pour la grande majorité, les chinois n’ont pas de VPN.
Le 29/10/2015 à 09h59
Le 29/10/2015 à 10h00
Ahhhhh!!!! oki je comprenais pas!
" />
Le 29/10/2015 à 10h18
Le 29/10/2015 à 10h19
Tant que tu ne sais pas qui a packagé l’APK, oui
" />
Et au passage, tu peux aussi te méfier des apps sur le Play store … et même sur tous les stores … il y a toujours des risques en fait … mais sur les alternatifs, encore plus oui …
Le 29/10/2015 à 11h02
La tare d’Androïd éclairée par Odidoub n’est pas la présence des stores alternatifs.
Mais le fait que n’importe quel droit peut être demandé par le développeur.
On a déjà vu une appli ‘lampe torche’ demander l’accès à la liste des contacts, aux message…
Le 29/10/2015 à 11h10
Disons que, depuis la 4.0 d’Androïd, il est nécessaire d’activer une option dans les paramètres de développeur de ton téléphone (masquée depuis la 4.4.4 d’ailleurs sans la manip idoine) pour pouvoir installer une app ne provenant pas du Play Store officiel. Déjà, ça limite la casse. La bidouille en questio pour faire réapparaitre le meni de développement n’est pas forcément évidente à trouver en plus.
Le 29/10/2015 à 11h11
Pareil pour des jeux. A chacun (en attendant Androïd 6.x) de regarder. Pareil pour les installations automatiques des mises à jour.
Le 29/10/2015 à 11h58
Mais même les personnes réfractaires à l’informatique comprennent que ce n’est pas normal et refusent.
Curiosité: Autour de moi, je vois de telles personnes parfaitement se débrouiller avec leur smartphone alors que le PC les mets mal à l’aise. Inclus navigation web et email mieux maitrisée depuis l’objet qui n’a pas la forme d’un PC alors on ne sait pas que c’est un ordinateur quand même…
Le 29/10/2015 à 13h53
Non, après, c’est toi qui est spammé à cause des gens qui se sont fait aspirer leur liste de contacts :/
Le 30/10/2015 à 01h30
En Chine les téléphones sont vendus sans playstore ca aide pas :)
Le 29/10/2015 à 07h51
C’est la conception même d’Android qui est en cause.
Heureusement la 6.0 semble essayer de rattraper le tir avec son système de permissions “à la volée”.
Le 29/10/2015 à 08h03
Je ne suis pas d’accord.
J’apprécie la liberté laissée par Android d’aller chercher des applications ailleurs, et j’accepte l’inśecurité qui en découle.
Ce qui est en cause, c’est la diffusion dans le public de la connaissance du lien application hors Google -> WTF sécurité.
Le 29/10/2015 à 08h05
Moi qui croyais que les gens avait compris qu’avec les store alternatif il y avait des risques…
Le 29/10/2015 à 08h16
Le 29/10/2015 à 08h18
Si les gens ne font pas attention c’est leur problème, c’est pas comme si on pouvait télécharger des applications ne venant pas du Store officiel par défaut.
Le 29/10/2015 à 08h18
C’est quand même un peu ouf ce chiffre, 18.000, les gens parcourent vraiment une liste de 18.000 applications avant de changer leur appli de gestion des SMS par défaut ?
Je sais pas tu cherches à remplacer ton appli qui gère les SMS tu fais le tour des 2 ou 3 plus connues et tu fais ton choix mais alors prendre la 13.486ème, hors Play Store, qui en plus affiche de la pub, j’ai envie de te dire bien fait.
Le 29/10/2015 à 08h18
Ben je croyais que les gens qui ouvrir systématiquement les pièces jointes ne savaient pas installer de store alternatif!
" />
Le 29/10/2015 à 08h20
Pour les 4.4 et plus récent, pour les anciennes version je suppose que ça peut être des appli tierce!^^
Le 29/10/2015 à 08h23
Ah oui exact
" />
Le 29/10/2015 à 08h26
A moins que je ne me trompe, je ne pense pas que les applis en question soient des gestionnaires de SMS.
" /> …
" />
Elles ont juste le droit d’accéder aux SMS pour que le SDK utilisé puisse (probablement) cibler les pubs affichées dans les applis en question.
Je sais pas si je suis bien clair
EDIT : bon bah, grilled !
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?