L’Unit 42, une équipe de recherche et de renseignement sur les menaces de Palo Alto Networks, a averti Baidu d’une collecte de données sensibles sur ses applications, et prévenu l’équipe Android de Google.
Google a supprimé les applications partout dans le monde le 28 octobre dernier. Une version conforme de Baidu Search Box a été remise à disposition dans Google Play au niveau mondial le 19 novembre. En revanche, Baidu Maps reste indisponible dans Google Play au niveau mondial.
Des données permettant un suivi des utilisateurs
Grâce à un système de détection de logiciels espions basé sur l’apprentissage automatique, les chercheurs de l’Unit 42 ont repéré Baidu Search Box et Baidu Maps, téléchargés 6 millions de fois aux Etats-Unis. Les données concernées par la fuite permettaient un suivi des utilisateurs, éventuellement toute leur vie durant. Les fuites de données découvertes constituent non seulement une violation de la vie privée des utilisateurs mais peuvent être exploitées par des cybercriminels en vue d’attaques, par exemple pour enregistrer la géolocalisation d’un téléphone ou récupérer les numéros appelés, précisent les chercheurs Stefan Achleitner et Chengcheng Xu dans un billet de blog.
Un problème de fond
Ils rappellent que les données fréquemment divulguées par les applications Android, sans nécessairement être non conformes aux règles de Google sur les apps, sont le modèle du téléphone, la résolution de l’écran, l’adresse MAC du téléphone, l’opérateur télécoms, le réseau (Wi-Fi, 2G, 3G, 4G, 5G), l’ID Android ainsi que les numéros IMSI (International Mobile Subscriber Identity) et IMEI (International Mobile Equipment Identity). Entre autres possibilités, le numéro IMSI peut être exploité pour identifier et suivre un utilisateur, et ce même s’il passe sur un autre téléphone en conservant son numéro. Avec le numéro IMEI, un cybercriminel peut, par exemple, déclarer le vol de l’appareil et pousser l’opérateur à désactiver l’appareil et à bloquer son accès au réseau.
« Pour éviter les fuites de données, les développeurs d’applications Android doivent appliquer les meilleures pratiques décrites dans le guide Android des développeurs d’apps et gérer correctement les données des utilisateurs », avertissent les chercheurs.
