Les applications Android de Baidu collectent des données sensibles
Deux applications Android appartenant au géant technologique chinois Baidu ont été retirées du Play Store de Google fin octobre, après avoir été prises en train de collecter des informations sensibles de leurs utilisateurs.
Les deux applications, Baidu Maps et Baidu Search Box, ont été supprimées après que Google a reçu un rapport de la société américaine de cybersécurité Palo Alto Networks. Les deux applications avaient plus de 6 millions de téléchargements combinés avant leur suppression.
Selon la société de sécurité américaine, les deux applications contiennent un code qui collecte des informations sur le modèle de téléphone de chaque utilisateur, son adresse MAC, les informations sur le transporteur et le numéro IMSI (International Mobile Subscriber Identity).
Certaines informations jugées sensibles
Le code de collecte des données a été trouvé dans le SDK Baidu Push, utilisé pour afficher des notifications en temps réel dans les deux applications.
Stefan Achleitner et Chengcheng Xu, chercheurs en sécurité de Palo Alto Networks, qui ont identifié le code de collecte des données, affirment que si certaines des informations collectées sont « plutôt inoffensives », certaines données comme le code IMSI « peuvent être utilisées pour identifier et suivre un utilisateur de manière unique, même si cet utilisateur change de téléphone ».
L’équipe de recherche précise que bien que la collecte de données personnelles des utilisateurs ne soit pas spécifiquement interdite par la politique de Google concernant les applications Android, après avoir signalé le problème à Google, l’équipe de sécurité du Play Store a confirmé ses conclusions et « identifié des violations non spécifiées » dans les deux applications Baidu, conduisant finalement à leur retrait du magasin officiel le 28 octobre.
Au moment où nous écrivons ces lignes, l’application Baidu Search Box a été restaurée sur le Play Store, mais Palo Alto Networks assure que les développeurs de Baidu ont supprimé le code de collecte des données.
Problème récurrent dans l’écosystème Android
Mais en plus du SDK Baidu Push, l’équipe de Palo Alto Networks a également identifié un code de collecte de données similaire dans le ShareSDK développé par le géant chinois de la publicité MobTech. Utilisé par plus de 37 500 applications, les deux chercheurs affirment que ce SDK permet également aux développeurs d’applications de collecter des données comme le modèle du téléphone, la résolution d’écran, l’adresse MAC, l’ID Android, l’ID publicitaire, l’opérateur et les codes IMSI et IMEI (International Mobile Equipment Identity).
« L’analyse des malwares Android montre que les SDK comme le Baidu Push SDK ou le ShareSDK sont fréquemment utilisés par des applications malveillantes pour extraire et transmettre les données des appareils », avertissent-ils, suggérant que si les SDK peuvent avoir été développés à des fins légitimes, comme le push de notifications et le partage de contenu sur les médias sociaux, ils sont souvent utilisés abusivement par ces développeurs.
D’une manière générale, il s’agit d’un problème récurrent, non seulement pour l’écosystème Android, mais aussi pour l’ensemble du monde des applications en ligne, de nombreuses applications collectant des données sensibles sur les utilisateurs sans restriction en l’absence de législation interdisant spécifiquement de telles pratiques.
Source : ZDNet.com
