Des millions d’applications fuient les données des utilisateurs privés via des SDK publicitaires Leaky

Des millions d’applications fuient les données des utilisateurs privés via des SDK publicitaires Leaky

Les applications mobiles fuient des données personnelles via des publicités non sécurisées qui transmettent des données de ciblage publicitaire de manière non sécurisée.

SAN FRANCISCO – Des millions d’applications divulguent des informations personnelles identifiables telles que le nom, l’âge, le revenu et peut-être même des numéros de téléphone et des adresses e-mail. Les développeurs d’applications qui ne protègent pas les données de ciblage publicitaire transmises aux annonceurs tiers sont en faute.

«L’ampleur de ce que nous pensions au départ être juste des cas spécifiques de conception d’application imprudente est écrasante», a déclaré Roman Unuchek, chercheur en sécurité chez Kaspersky Lab, qui a présenté ses recherches ici à la conférence RSA mardi. «Des millions d’applications incluent des SDK tiers, exposant des données privées qui peuvent être facilement interceptées et modifiées, ce qui entraîne des infections de logiciels malveillants, du chantage et d’autres vecteurs d’attaque très efficaces sur vos appareils.»

Les données envoyées non cryptées via HTTP peuvent être collectées par des cybercriminels qui partagent le même réseau Wi-Fi, ou par un FAI ou même par des logiciels malveillants installés sur le routeur domestique d’une cible, selon les chercheurs.

Non seulement des données non protégées peuvent être collectées, mais elles peuvent également être interceptées par un cybercriminel qui peut les modifier pour afficher des publicités malveillantes, incitant les utilisateurs à télécharger une application de Troie, qui s’avère être un malware, selon Unuchek.

Kaspersky a déclaré que l’origine du problème pouvait être attribuée à l’utilisation de SDK prédéfinis et réutilisés liés à des réseaux publicitaires populaires et utilisés par les développeurs d’applications pour gagner du temps. Une analyse de ces SDK prédéfinis par Kaspersky montre que beaucoup sont défectueux car ils envoient des données de profil utilisateur non protégées entre l’application et les serveurs des annonceurs. Pour aggraver le problème, le code du SDK a été utilisé dans des millions d’applications par les développeurs.

«Nous avons recherché les deux requêtes HTTP les plus populaires – GET et POST. Dans les requêtes GET, les données utilisateur font généralement partie des paramètres d’URL, tandis que dans les requêtes POST, les données utilisateur se trouvent dans le champ Contenu de la requête, pas dans l’URL. Dans notre recherche, nous avons recherché des applications transmettant des données utilisateur non chiffrées en utilisant au moins une de ces demandes, même si beaucoup exposaient des données utilisateur dans les deux demandes », a écrit Unuchek dans un rapport de recherche publié mardi.

Il a déclaré que 4 millions d’APK examinés exposaient certaines données à Internet. «Certains d’entre eux le faisaient parce que leurs développeurs avaient commis une erreur, mais la plupart des applications populaires exposaient les données des utilisateurs à cause de SDK tiers», a-t-il déclaré.

Les chercheurs n’ont pas identifié les annonceurs ou les applications derrière les SDK, indiquant seulement que plusieurs millions d’applications utilisant les SDK des réseaux publicitaires populaires sont concernées.

Dans un exemple de fuite de données, les chercheurs ont intercepté un fichier JSON non chiffré envoyé depuis le serveur d’un annonceur. «Dans ce fichier JSON, nous avons trouvé de nombreuses données utilisateur, y compris des informations sur l’appareil, la date de naissance, le nom d’utilisateur et les coordonnées GPS», a écrit Unuchek.

Plus alarmant encore, les chercheurs ont déclaré que certains développeurs d’applications malveillantes transmettaient également des données de manière non sécurisée. «Dans le cas des logiciels malveillants, c’est encore pire car ils peuvent voler des données plus sensibles comme les SMS, l’historique des appels, les contacts, etc. Les applications malveillantes non seulement volent les données des utilisateurs, mais les exposent à Internet, les rendant disponibles pour que d’autres les exploitent et les vendent, »A écrit Unuchek.

Il conseille aux utilisateurs d’examiner les autorisations des applications lors de l’installation des applications. Plus il y a d’autorisations demandées, plus le potentiel des données envoyées de manière non sécurisée aux annonceurs est important. Il recommande également d’utiliser VPN.