Google Play Store interdit les applications après avoir trouvé un code de vol de données

Image pour l'article intitulé Les applications de prière musulmanes méga-populaires récoltaient secrètement des numéros de téléphone

photo: Pavlo Gonchar / SOPA Images / LightRocket (Getty Images)

Google a récemment démarré plus d’une douzaine d’applications de son Play Store – parmi lesquelles des applications de prière musulmane avec plus de 10 millions de téléchargements, un scanner de codes-barres et une horloge – après que des chercheurs ont découvert un code secret de collecte de données caché en leur sein. Plus effrayant encore, le code clandestin a été conçu par une société liée à un sous-traitant de la défense de Virginie, qui a payé des développeurs pour incorporer son code dans leurs applications afin de voler les données des utilisateurs.

Au cours de leurs recherches, les chercheurs sont tombés sur un morceau de code qui avait été implanté dans plusieurs applications et qui était utilisé pour siphonner les identifiants personnels et d’autres données des appareils. Le code, un kit de développement logiciel, ou SDK, pourrait “sans aucun doute être décrit comme un malware”, a déclaré un chercheur.

Pour la plupart, les applications en question semblent avoir servi des fonctions de base et répétitives – le genre qu’une personne peut télécharger et ensuite oublier rapidement. Cependant, une fois implantés sur le téléphone de l’utilisateur, les programmes basés sur le SDK ont récolté des points de données importants sur l’appareil et ses utilisateurs, tels que les numéros de téléphone et les adresses e-mail, ont révélé les chercheurs.

le le journal Wall Street initialement signalé que le code étrange et invasif avait été découvert par une paire de chercheurss, Serge Egelman et Joel Reardon, qui ont tous deux cofondé une organisation appelée AppCensus, qui audite les applications mobiles pour la confidentialité et la sécurité des utilisateurs. Dans un article de blog sur leurs conclusions, Reardon écrit qu’AppCensus a initialement contacté Google au sujet de leurs conclusions en octobre 2021. Cependant, les applications n’ont finalement été supprimées du Play Store que le 25 mars après l’enquête de Google, rapporte le Journal. Google a publié une déclaration en réponse : “Toutes les applications sur Google Play doivent respecter nos politiques, quel que soit le développeur. Lorsque nous déterminons qu’une application enfreint ces politiques, nous prenons les mesures appropriées. ”

L’une des applications était un scanner QR et code-barres qui, s’il était téléchargé, était chargé par le SDK de collecter le numéro de téléphone, l’adresse e-mail, les informations IMEI, les données GPS et le SSID du routeur d’un utilisateur. Une autre était une suite d’applications de prière musulmanes, notamment Al Moazin et Qibla Compass – téléchargées environ 10 millions de fois – qui ont également volé des numéros de téléphone, des informations sur le routeur et IMEI. Un widget météo et horloge avec plus d’un million de téléchargements a aspiré une quantité similaire de données à la commande du code. Au total, les applications, dont certaines pouvaient également déterminer la localisation des utilisateurs, avaient accumulé plus de 60 millions de téléchargements.

Une base de données mappant l’e-mail et le numéro de téléphone réels d’une personne à son historique de localisation GPS précis est particulièrement effrayante, car elle pourrait facilement être utilisée pour exécuter un service permettant de rechercher l’historique de localisation d’une personne simplement en connaissant son numéro de téléphone ou son e-mail, ce qui pourrait être utilisé pour cibler des journalistes, des dissidents ou des rivaux politiques », écrit Reardon dans son article de blog.

Alors qui est derrière tout ça ? Selon les chercheurs, une société enregistrée au Panama appelée Measurement Systems. Les chercheurs écrivent dans leur rapport que Measurement Systems était en fait enregistré par une société appelée Vostrom Holdings – une société basée en Virginie ayant des liens avec l’industrie de la défense nationale. Vostrom passe des contrats avec le gouvernement fédéral via une filiale appelée Packet Forensics, qui semble se spécialiser dans la cyberintelligence et la défense des réseaux pour les agences fédérales, rapporte le Journal.

Les développeurs d’applications qui ont parlé au journal ont affirmé que Management Systems les avait payés pour implanter son SDK dans leurs applications, ce qui a permis à l’entreprise de “collecter subrepticement des données” auprès des utilisateurs d’appareils. D’autres développeurs ont noté que la société leur avait demandé de signer des accords de non-divulgation. Les documents consultés par le Journal ont apparemment révélé que la société souhaitait principalement des données sur les utilisateurs basés au “Moyen-Orient, en Europe centrale et orientale et en Asie”.

L’industrie de la défense a une longue, problématique relation amoureuse avec l’industrie du courtage de données – quelque chose que les chercheurs de données sur Twitter ont rapidement souligné après la publication de l’article du Journal :

Une liste complète des applications contenant le code SDK effrayant peut être trouvée dans Reardon’s rédaction sur le site AppCensus.

.

Leave a Comment