Passer au contenu

iPhone : un millier d’applis vérolées interceptent les données des utilisateurs

De nombreuses applications iPhone et iPad hébergeraient un SDK publicitaire malveillant capable d’intercepter les différentes requêtes d’un utilisateur. Au total, ces applications cumulent 300 millions de téléchargements chaque mois.

Crédits : William Hook via Unsplash

S’il arrive régulièrement que des applications Android soient épinglées pour héberger des malwares ou être un peu trop intrusives, les utilisateurs d’iPhone ne seraient pas forcément beaucoup plus protégés. Comme l’ont découvert les chercheurs en sécurité de Snyk, du code malveillant a été retrouvé dans plus de 1200 applications iOS qui utilisaient toute la plateforme publicitaire chinoise Mintegral. Ce code malveillant permettait de copier toutes les requêtes recueillies par l’application, et les renvoyaient par la suite à Mintegral.

Concrètement, il s’agissait de s’attribuer les données récoltées par des plateformes publicitaires tierces puis de les monétiser, ce qui représente, selon les chercheurs en sécurité de Snyk, une atteinte à la vie privée et à la protection des données. Ce SDK était ainsi capable d’intercepter les « taps » des utilisateurs, et pourrait, d’après Synk, récupérer certaines informations sensibles comme leurs identifiants. « Mintegral pourrait monétiser ces données en les vendant à des tiers à des fins d’analyse » indiquent les chercheurs. Dans une vidéo postée sur YouTube, Synk démontre comment ce SDK s’y prend pour récolter abusivement les données des utilisateurs de ces applications.

Au total, le SDK malveillant aurait été intégré à plus de 1200 applications iOS, pourtant bel et bien présentes dans l’App Store d’Apple. Au total, ces applications cumulent près de 300 millions de téléchargements par mois à travers le monde. Malheureusement, les chercheurs ne mentionnent pas le nom de ces applications. Cela prouve néanmoins que les utilisateurs d’iPhone ne sont pas forcément plus à l’abri que d’autres en termes de collectes abusives de données.

[amazon box=”B07HB4TJH1″]

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

9 commentaires
  1. c’est une conspiration ! la preuve ? ils donnent pas le nom des applications !!!!
    Jamais Apple ne laisserait passer ça , JAMAIS ! PAS TOUCHE à mon précieux ! mon prééécieuuuuxx !

  2. ET a coté de ça, pas de Xcloud, apple pay vérouillé, continuer comme ça et l’iphone que je possède sera surement le dernier

  3. Je ne connais pas Android, mais iOS demande aux utilisateurs d’autoriser ou non l’accès aux données personelles avant que l’appli y accède.

  4. Le SDK Mintegral existe aussi sur Android pourquoi les chercheurs n’ont ciblés que IOS ? Qu’une appli gratuite (ou un SDK gratuit) utilise ce que vous faites avec ne me choque pas : si c’est gratuit c’est toi le produit.

    Ceux qui se plaignent n’utilise pas facebook, google… ?

    Tant que l’appli ne peut pas accéder aux contacts et aux contenus des autres applis rien de choquant.
    Dans la démonstration l’utilisateur doit autoriser l’accès à l’appareil photo sur IOS (et pas à l’ensemble des photos en tout cas il peut le refuser), une fois que l’appli a fait le job qui lui a été demandé (scanné le QR code), elle remonte l’activité au serveur de l’appli qui pourra valoriser de la récupération de donnée. Le pb c’est que si un développeur fait la même appli à 0.99 € sans remontée de données : personne ne la téléchargera.

  5. ce qui est bien c est quand une personne ne lit pas vraiment le sujet et commente a cote.

    Donc resumons : le sdk dont on parle intercepte A SON PROPRE COMPTE les donnees publicitaires qui sont censees etre un moyen de financement pour le developpeur. Ensuite elle vend les informations a qui elle veut, donc en dehors de tout accord qui est implicitement signe entre le concepteur de l application et l utilisateur.
    Quand je fourni mes infos avec google, j accepte a mon corps defendant les regles que google m impose. La votre message aurait un sens.
    dans le cas present c est un sdk tierce qui fait ce qu il veut de vos donnees, y compris en dehors du controle du developpeur de l application. Dans ce cadre, non, faut arreter le raisonnemebnt simpliste du “c est toi le produit”.

    Le “c est toi le produit” deja est faux et ensuite doit se conformer malgré tout aux lois et regles. ce que ce sdk contourne .

Les commentaires sont fermés.

Mode