Des fonds d'écrans qui piquent vos données personnelles sur Android

Anthony Nelzin-Santos |

Selon Lookout, une société qui développe une solution de sauvegarde doublée d'un antivirus pour Android, BlackBerry et Windows Mobile, « des millions d'utilisateurs » d'Android auraient téléchargé une application qui fournirait certes des fonds d'écrans des plus enfantins aux plus geeks, mais en profiterait pour allègrement récupérer des données personnelles.

Lookout mène un projet nommé « App Genome Project », qui étudie les applications iOS et Android et plus particulièrement la manière dont elles accèdent aux données personnelles et ce qu'elles en font. Selon Lookout, la plupart des applications accèdent à un degré ou à un autre à des données personnelles, notamment par le biais des services tiers de publicité.

skitched

Seules 23 % des applications iPhone accéderaient aux données personnelles, alors que la proportion monterait à 47 % sur Android. Le contrôle exercé par les équipes de validation App Store doit avoir son effet, tout comme le fait que 57 % des applications Android sont gratuites, contre 28 % des applications iPhone : il y a donc en proportion certainement plus d'applications Android ayant recours à la publicité que d'applications iPhone financées par ce moyen (lire : Une étude sur les prix des applications mobiles).

L'application de Jackeey Wallpapers cache sous son apparence tout à fait innocente la récupération de votre numéro de carte SIM, de vos SMS, de votre historique de navigation et votre mot de passe de messagerie, qui sont ensuite transmis à un site, imnet.us, qui semble être administré en Chine. L'application aurait été téléchargée entre 1,1 et 4,6 millions de fois, un chiffre très imprécis car l'Android Market n'offre pas de données précises. On ne sait pas quelle utilisation est faite de ces données après coup. L'application demande l'accès « aux informations du téléphone », ce qui est plus qu'imprécis. Sur Android, toutes les applications sont censées préciser l'accès aux données personnelles au premier lancement, au contraire des applications iOS, dispensées d'un tel message après leur passage par les équipes de validation App Store, le contrat de licence iOS encadrant les pratiques de manière assez stricte.

Lors d'une intervention lors de la conférence Black Hat sur la sécurité, les responsables de Lookout ont donc rappelé un principe de base qui a tendance à être oublié dans ces boutiques centralisées : « même les "gentilles" applications peuvent être modifiées pour devenir "méchantes" une fois qu'elles ont été téléchargées par de nombreuses personnes. Les utilisateurs doivent absolument faire attention à ce qu'ils téléchargent. Et les développeurs doivent être plus responsables quant à leur utilisation des données personnelles qu'ils collectent et ce qu'ils en font ».

Vie MobileBeat

Tags
#Android #Sécurité
avatar P.Gomes | 
De toute façon ceux qui font cela font le même business que google alors ceux qui utilisent les services google doivent s'attendre à cela.
avatar rick75 | 
en effet! Google n'a jamais caché son "pompage" d'information sur la vie privée des gens, donc il ne faut pas s'attendre à une réaction de leur part. Cela reviendrait à se tirer une balle dans le pied.
avatar freelancer007 | 
Modéré par la rédaction (AZ)
avatar Kevelian | 
C’est cool après s’être fait traiter de lobotomisé on se fait censurer on doit dire Amen a tout ?? ou passer la pommade a la rédac pour avoir le droit de répondre avec une pointe de sarcasme ?? Celui la va aussi être censuré ou vais-je avoir droit a une explication
avatar an3k | 
L'application a été indiquée comme ayant été downloadée entre 50.000 et 250.000 fois (et pas 1M à 4M). Et dans les droits pris par l'application, il est indiqué 'consulter l'état du téléphone' et 'accès aux informations de goélocalisation', ce qui peut sembler étrange effectivement. C'est à Google de s'expliquer sur ce coup et d'indiquer quelle protection ils offrent aux utilisateur Android (dont je suis encore actuellement) contre les applications malveillantes. Après, il n'y a aucune protection 100% fiable (Cf l'affaire de l'appli iPhone 'modem' dissimulée) même sur l'Apple Store, ça peur arriver. On peut cacher aux validateurs des comportements des applis proposées.
avatar lechneric | 
En ce qui concerne Jackeey Mobile, ça s'apparente plus à du piratage, vu le type de données récupérées (mots de passe, SMS, numéro de carte SIM)...
avatar an3k | 
Tout à fait.
avatar P.Gomes | 
C'est surtout l'historique de navigation relié au numéro de carte sim qui me ferait chier si je suis pas trop au courant ou si on me donne vraiment pas le choix.
avatar kalynoh | 
Rhooo, mais ne soyez pas mauvaise langues, c'est google, les bisounours de l'industrie d'internet, ils sont gentil et combattent pour la liberté, vous le savez bien...
avatar eipem | 
@ ddrmysti : Mort de rire. Merci
avatar xblade42 | 
"Don't be evil" ?
avatar drkiriko | 
À ce stade, il s'agit de piratage. Pourquoi récupérer un mot de passe, pour effectuer des statistiques d'utilisation ou simplement ouvrir une porte sur la vie privée ?
avatar agerber | 
L'un comme l'autre est aussi mauvais.. Un telephone doit avant tout servir a telephoner, pas à espionner son utilisateur.. J'espere que l'UE va réagir dans ce sens ..Car les fabricants se croient désormais tout permis.. Un OS doit rester un OS, pas un outil d'espionnage à distance..
avatar swanny | 
la validation des apps par apple n'est peut être pas infaillible, mais perso je me sens plus en sécurité avec leur système, que je ne serait sur le google market , c'est aussi l'une des raisons pour les quelles je ne jailbreake pas.
avatar rico75mail | 
@ clem95 : Tout a fait d'accord la dessus! On ne peut jamais être sur a 100% mais ça offre une certaine sécurité.
avatar Lou117 | 
En l’occurrence c'est pas vraiment la faute de google, n'importe quelle application mac ou windows auquel vous donnez les droits fait la même chose. Maintenant google va certainement réagir. A l'utilisateur aussi de savoir ce qu'il installe, le Market décrit bien les droits offerts à chaque application.
avatar freelancer007 | 
Ha bon ? C'est pas à l'éditeur de l'OS de faire en sorte que certaines données ne soient pas accessibles par des tiers. Ha bon, on nous aurait menti.
avatar an3k | 
Je ne suis pas d'accord sur ce point. Lorsque j'installe des applis depuis l'Android Market, j'attends au moins une information claire sur ce que fait l'appli. Après, c'est moi qui décide. Dans ce cas précis, les droits ne sont pas clairs du tout et rien n'explique que l'appli accède aux contacts de la carte SIM etc...
avatar Mayorkam | 
@Lemmings:"A l'utilisateur aussi de savoir ce qu'il installe," non, l'utilisateur il va sur l'Android Market. Google est RESPONSABLE de ce qui circule sur son store. S'il veut s'en laver les mains, alors c'est vraiment d'une impudence totale puisqu'il profite de la centralisation des applis sur son store sans assumer la moindre responsabilité. Apple sur ce point est inattaquable...
avatar Ryuuga | 
C'est clair que si tu vas dans un supermarché, et que tu achetes un truc à bas pris completement disconctionne qui te pète à la figure, c'est la faute du supermarché, et pas du constructeur, fallait pas qu'il le vende!! Nan, mais faut arreter de prendre les gens pour des gamins aussi!! Ils sont responsable de ce qu'il prennent!! Quand à jerrycan : écoute, une appli GPS qui me dit "a besoiin d'acceder à vos donnée GPS", je vois pas en quoi c'est mal. L'appli "fond d'écran" qui me demande la même chose, c'est completement idiot et sous entend qu'il l'utilise pour des utilisations pas claire. On doit bloquer le GPS pour ça??? faut arreter de raconter des conneries parfois!!
avatar freelancer007 | 
Tu sais de quelles données je parle précisement ? non ? alors cou-couche panier !
avatar Ryuuga | 
Allez zouu. Une news sur une appli qui pirate vos données?? Ben voyons!! A fond les amalgames "Oui ce genre de pirate existe parce que google pirate aussi vos données". Ben voyons, merci stalmicmac, pseudo714 et ddrmystie pour montrer toujours a quel point certains users mac sont pitoyable et tellement fermé d'esprit. D'une part, ce qui est décris ici s'apparante comme déjà dit à du piratage, un truc qui n'a jamais été pratiqué par aucun acteur. D'autre part, les données personnelles dont google fait commerce, tout le monde est au courant, et personne ne t'oblige à utiliser leur service. Ca n'a rien à voir avec un quelconque "gentil google", ils te vendent quelque chose, et toi tu les rémunères avec ce genre de donnée. Tout le monde fait ça, sauf qu'il n'y a pas grand monde qui l'utilise comme rémunération (c'est plutot vu comme un bonus). Les supermarché te pistent graçe a ta carte banquaire et les compte fidélité, du gratuit? Juste quelque bon de réduction. Les banque, la poste, les abonnement, beaucoup de sites...tous ont des données vendables et les généralement les vendent! Sans contrepartie pour l'utilisateur. Et dernier exemple?? Apple. Grace à ITunes, aux iphone et bientot grace à iAd. Et tu crois vraiment qu'apple ne fait pas commerce de cette banque de donnée? Maintenant , il sont moins hypocrite en prévenant au moins qu'il font des publicités ciblés.Mais tu as eu beaucoup de contrepartie??? C'est vous qui vivez dans un monde de bisounours!! Google n'est pas un "gentil", c'est juste les moins hypocrites de tous sur ce sujet et le seul à vraiment faire un donant-donant!!! (Ca me fait rigoler les gars qui arrivent genre "serieux" avec une grande vérité "Tu sais, google n'est pas gratuit, tu le payes au prix cher sur ta vie privé". Et les autres marques alors, tu payes non seulement le produit + ta vie privé?? Y a plusieurs très bon article sur le sujet, dont un dossier complet sur QueChoisir...) Quand a ce genre d'appli sur le market, c'est pas si étonnant qu'il n'y a aucune validation de faite. Après, c'est aux utilisateurs d'être responsable! Quand une appli de fond d'écran me demande l'accès à mon carnet d'addresse (marqué en gros lors du téléchargement), ben...je prend pas!! Des qu'il y a plus de liberté, y a plus d'abus, c'est un phénomène connu....
avatar Mayorkam | 
@Bastienzz:"Google n'est pas un "gentil", c'est juste les moins hypocrites " Ah bon, depuis quand ? Le discours "nous on est libre pas comme ces crevards d'Apple" quand dans le même temps leur patron t'indique que si tu ne veux pas qu'on fouille tes données perso c'est que tu as quelque chose à cacher, c'est sûr que c'est même au delà de l'hypocrisie... Et UFC cautionne ça en plus ? Bah au moins ça confirme bien qu'ils disent n'importe quoi...
avatar simon | 
Vous voyez le mal partout... C'est un backup de vos données au cas où...
avatar Mayorkam | 
Et si Google ne veut pas pouvoir être tenu pour responsable de ce qui circule sur son store, la solution est simple: ils enlèvent le store et permettent juste l'installation d'applis venant du net, comme sur les anciens winmo... Quand on tient un store, on doit connaître les produits qui y circulent. Si mon épicier me vend des produits ayant dépassés la date , il est responsable de cette erreur. Google, c'est pareil, mais comme ces crétins ont fait des critères de validation une question marketing de "liberté" face aux choix logiques d'Apple, alors ils sont coincés et ne veulent plus rien voir. Conclusion logique encore, les pirates sont au courant de cette faiblesse et il est évident que plus ça ira, moins ça ira...
avatar freelancer007 | 
Rien à ajouter.
avatar simon | 
Pour ton épicier, si le producteur a mis une mauvaise /fausse étiquette qui est le responsable ? C'est l'épicier qui va vérifier si mon yaourt est réellement périmé ou il va faire "confiance" à l'étiquette mise par le producteur ? Ben il va faire confiance. Maintenant si l'épicier met en vente un produit périmé et qu'il sait qu'il est périmé alors oui il responsable sinon... J'arrete le parallèle avec l'épicier. Si c'est avéré, je pense que google va retirer l'app ou les apps concernées et puis voilà.
avatar PtitRital67 | 
l'épicier est responsable de ce qu'il met en vente, ce n'est pas au client de savoir sur qui se défausser
avatar gilzecat | 
@Shenmue : Pas la peine de t'énerver, ce sont deux conceptions totalement différentes du monde. Ce qui fait qu'Apple à des utilisateurs et Android d'autres. On a choisi celle de la "simplicité". On utilise et on se pose pas trop de question. En cas de problème on sait vers qui se retourner et on a confiance en la société qui s'occupe de faire en sorte qu'il n'y ait pas de problème (même si on a conscience que zéro problème est impossible). À côté de ça il y a ceux qui aiment la bidouille et qui passent autant de temps à configurer leurs machines qu'à les utiliser, voire plus, et qui ne veulent être totalement libre, même de se manger des programmes illicites. Faudra qu'ils trouvent la solution eux-même. C'est leur choix. Rien à redire. Effectivement avoir confiance en l'Androïd marquet est impossible parce que comme Google l'a bien expliqué il n'y a quasi aucun contrôle dessus.
avatar Kevelian | 
@Nesus, Shenmue n’a pas tout tord dans l’histoire c’est facile de faire les malins en disant on contrôle rien et après de revendiquer 100.000 apps (quand y en a que 70.000) … et au premier problème dire on est pas responsable de ce qui se trouve dans notre boutique sur nos serveurs … Si apple fait ça on en a pour 6 mois avec les trolls et les articles marronniers de nos cher redacteurs
avatar an3k | 
Ce n'est pas google qui revendique quoi que ce soit, ce sont des chiffres du site Androlib.com qui indiquent 99371 applis et 1,1 milliard de downloads sur l'Android Market. http://fr.androlib.com/appstats.aspx Google ne communique pas là dessus (à ma connaissance). Et s'agissant de l'Android Market, Google est au moins responsable de ne pas donner la bonne information aux consommateurs en indiquant _clairement_ ce que font les applications. Leur catégorisation des accès est un peu trop grossière sur certains aspects.
avatar dominiclessard | 
Les BlackHat utilisent des Mac ? Et les Grey et White aussi ?
avatar dominiclessard | 
J'me réponds tout seul, mais en fait ils doivent toucher a tout. :D
avatar USB09 | 
Une mise à jour de l'article serait de bon ton: l'appli n'avais accès en fait qu'à votre numéro de téléphone et votre numéro IMEI. pas de quoi fouetter un chat...
avatar FrancoisR | 
J'espère que ya pas des app comme cela sur mon iPhone Ptn mais ou va le monde
avatar FrancoisR | 
De toute les façon on est fliquer de partout On pe pas acheter du pain sans que sa de sache Et des idiot renforce se système grace a Facebook twitter ... Il suffit de s'enterrer dans un abris anti atomique et la ptet que personne ne vou Vera faire se que fou faite

CONNEXION UTILISATEUR