Passer au contenu

Google Play Store : des portes dérobées découvertes dans des centaines d’applis

Un kit de développement publicitaire embarqué dans plus de 500 applications permettait à une société chinoise d’exécuter n’importe quel type de code sur les terminaux des utilisateurs.

Télécharger des applis sur le Google Play Store n’est pas forcément sans risque. Les chercheurs en sécurité de Lookout y ont découvert plus de 500 applications qui embarquaient un kit de développement (SDK) publicitaire particulièrement douteux. Créé par la société de marketing chinoise Igexin, ce logiciel crée dans les applis une porte dérobée permettant d’exécuter n’importe quel code, au travers d’un système de téléchargement de « plugins ». Le SDK fait un appel REST aux serveurs d’Igexin qui, en retour, envoie les liens pour télécharger des fichiers JAR (Java Archive) contenant des classes Java à intégrer.

Tout ceci se fait sans concertation avec les auteurs des applications qui n’ont aucun contrôle sur ce processus. Igexin peut, en réalité, faire tourner ce qu’il veut sur les applications hôtes, dans la limite de leurs autorisations d’accès. Evidemment, Igexin ne se prive pas de ce pouvoir. Ainsi, les chercheurs de Lookout ont-ils pu observer des plugins qui exfiltrent – ni vu ni connu – tout l’historique des appels des utilisateurs avec notamment date et heure d’appel et numéro de l’appelant.

Lookout – Deux exemples d’applications qui ont été infectés par Igexin mais qui ne le sont plus.

L’impact sur la sécurité est potentiellement important, car les 500 applications ont été téléchargées plus de… 100 millions de fois. Mais il est difficile à évaluer car toutes les versions du SDK embarqué ne disposent pas de ce système de plugin. Par ailleurs, personne ne sait exactement quel type de code est poussé sur les terminaux, celui pouvant changer à tout moment.

Alerté par Lookout, Google a supprimé les applications concernées ou les a remplacées par des versions inoffensives. Il y en avait de toutes sortes : des jeux, des applis météo, des radios web, des éditeurs de photo, etc. Cette menace est donc désormais éliminée, mais on peut parier que les spécialistes du marketing trouveront d’autres voies pour espionner en douce les utilisateurs de smartphones.   

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN