Les applications Baidu sont supprimées de Google Play, peu de temps après que les chercheurs ont alerté Google sur certaines … [+]
Images SOPA / LightRocket via Getty ImagesDeux applications développées par le géant chinois de la technologie Baidu divulguaient des données d’utilisateurs «sensibles» qui ont potentiellement laissé jusqu’à 1,4 milliard d’utilisateurs ouverts à la surveillance ou à la cybercriminalité, selon les chercheurs revendiqué mardi.
Les deux applications – Baidu Maps et Baidu App – ont été jetées du Google Play Store à la fin du mois dernier, alors que Google remerciait les chercheurs pour avoir révélé des problèmes de confidentialité dans le logiciel. L’application Baidu est de nouveau en ligne après avoir été mise à jour, tandis que Baidu Maps reste hors ligne.
Les applications comptent jusqu’à six millions d’utilisateurs rien qu’aux États-Unis et environ 1,4 milliard de téléchargements dans le monde. Des chercheurs de l’Unité42 de Palo Alto Networks ont affirmé qu’ils divulguaient des données de téléphones qui auraient pu laisser quiconque téléchargeant les applications ouvert à une surveillance persistante. «Les données divulguées ont rendu les utilisateurs traçables, potentiellement tout au long de leur vie», ont-ils écrit dans un rapport vu par Forbes avant la publication. Ils n’ont vérifié que la version de l’application téléchargeable sur Google Play, mais ils pensent qu’il est possible que toutes les versions de tous les magasins d’applications mondiaux soient affectées.
Les chercheurs ont découvert qu’un kit de développement logiciel (SDK) Baidu appelé Push in the apps envoyait des données utilisateur «sensibles» à un serveur chinois. Les informations comprenaient le modèle de téléphone, le numéro IMSI et l’adresse MAC.
Cette fuite de données peut sembler anodine, mais comme l’ont noté les chercheurs d’Unit42, les numéros IMSI et IMEI peuvent être utilisés pour identifier et suivre un utilisateur, même lorsqu’il change de téléphone. L’IMSI, par exemple, est le numéro donné par un opérateur de téléphonie mobile pour identifier de manière unique un abonné.
«Les applications Android qui collectent des données, telles que l’IMSI, sont capables de suivre les utilisateurs pendant toute la durée de vie de plusieurs appareils. Par exemple, si un utilisateur change sa carte SIM sur un nouveau téléphone et installe une application qui a précédemment collecté et transmis le numéro IMSI, le développeur de l’application est en mesure d’identifier de manière unique cet utilisateur », ont écrit les chercheurs.
«La fuite de données depuis les applications Android et les SDK représente une grave violation de la vie privée des utilisateurs. La détection d’un tel comportement est vitale pour protéger les droits à la vie privée des utilisateurs mobiles. »
Il existe également un risque potentiel de cybercriminalité pour les utilisateurs, a déclaré Stefan Achleitner, chercheur principal pour l’unité 42, car il pourrait être possible de détecter et de rediriger un appel à l’aide des informations divulguées. «Un cybercriminel motivé financièrement pourrait rediriger un appel téléphonique qu’un utilisateur passe à sa banque et, se faisant passer pour un représentant de la banque, le cybercriminel pourrait demander les informations bancaires de l’utilisateur», a déclaré Achleitner Forbes. «À partir de là, le cybercriminel pourrait accéder au compte bancaire de l’utilisateur et potentiellement voler son argent.»
Sur et hors de Google Play
Après que Palo Alto ait informé Google des problèmes le mois dernier, les chercheurs ont déclaré que le géant de Mountain View avait confirmé les résultats et identifié par la suite des «violations supplémentaires» avant de supprimer les applications le 28 octobre. Ni Google ni Palo Alto n’ont dit quelles étaient les violations supplémentaires. L’application Baidu était de retour sur Google Play le 19 novembre après avoir été mis à jour, mais Baidu Maps reste interdit.
Baidu a contesté la suggestion selon laquelle les recherches de Palo Alto Networks auraient conduit à l’interdiction de Google. « Nous travaillons à la mise à jour de Baidu Maps conformément aux directives de Google et prévoyons que l’application reviendra sur Google Play début décembre », a déclaré un porte-parole de Baidu.
La société chinoise a déclaré que les données étaient saisies « pour activer la fonctionnalité push, comme indiqué dans l’accord de confidentialité. » «Baidu prend très au sérieux la confidentialité et la sécurité de ses utilisateurs et les données ne sont utilisées qu’avec l’autorisation des utilisateurs. Les problèmes signalés avaient été résolus dans la dernière version des applications avant que Unit42 ne sollicite ses recherches. »
La société n’avait pas répondu à d’autres questions sur les raisons pour lesquelles les applications avaient été interdites en premier lieu.
Un porte-parole de Google n’a pas fourni plus de détails, mais a ajouté: «Nous apprécions le travail de la communauté de recherche et des entreprises comme Palo Alto Networks, qui travaillent pour renforcer la sécurité du Play Store. Nous sommes impatients de collaborer avec eux sur d’autres recherches à l’avenir. »
Plus tôt cette année, un autre fournisseur chinois, Xiaomi, a été vu enregistrer les habitudes de navigation Web des utilisateurs via ses applications Android, même lorsqu’ils fonctionnaient en mode navigation privée.
.
