Photo Illustration par Miguel Candela/SOPA Images/LightRocket via Getty Images
Pas étonnant que Google ait du mal à suivre le rythme de son app store. Depuis lundi, des chercheurs ont signalé que des centaines d’applications Android et d’extensions Chrome avec des millions d’installations sur les marchés officiels de l’entreprise incluaient des fonctions permettant d’espionner les fichiers des utilisateurs, de manipuler le contenu des presse-papiers et d’injecter délibérément du code inconnu dans les pages Web.
Google a supprimé de nombreuses entrées malveillantes, mais pas toutes, ont déclaré les chercheurs, mais seulement après leur signalement, et à ce moment-là, elles se trouvaient sur des millions d’appareils, voire des centaines de millions. Les chercheurs ne sont pas contents.
Un endroit bien triste
“Je ne suis pas fan de l’approche de Google”, a écrit le développeur d’extensions et chercheur Wladimir Palant dans un e-mail. Dans les jours précédant Chrome, lorsque Firefox avait une part plus importante de la part du navigateur, de vraies personnes examinaient les extensions avant de les rendre disponibles sur le marché Mozilla. Google a adopté une approche différente en utilisant un processus de révision automatisé, que Firefox a ensuite copié.
“Comme les examens automatisés manquent souvent d’extensions malveillantes et que Google est très lent à réagir aux rapports (en fait, ils réagissent rarement du tout), cela laisse les utilisateurs dans un endroit très triste”, a déclaré Palant.
Les chercheurs et les défenseurs de la sécurité adressent depuis longtemps les mêmes critiques au processus d’examen des applications Android par Google avant de les rendre disponibles sur son marché Play. La semaine dernière fournit une raison évidente pour le mécontentement.
Lundi, la société de sécurité Dr.Web a signalé avoir trouvé 101 applications avec 421 millions de téléchargements sur Play qui contenaient du code permettant une multitude d’activités de logiciels espions, notamment :
- Obtention d’une liste de fichiers dans des répertoires spécifiés
- Vérification de la présence de fichiers ou de répertoires spécifiques sur l’appareil
- Envoi d’un fichier de l’appareil au développeur
- Copier ou remplacer le contenu des presse-papiers.
Le chercheur d’ESET, Lukas Stefanko, a analysé les applications rapportées par Dr.Web et a confirmé les résultats. Dans un e-mail, il a déclaré que pour que l’espionnage de fichiers fonctionne, les utilisateurs devraient d’abord approuver une autorisation appelée READ_EXTERNAL_STORAGE, qui, comme son nom l’indique, permet aux applications de lire les fichiers stockés sur un appareil. Bien qu’il s’agisse de l’une des autorisations les plus sensibles qu’un utilisateur peut accorder, elle est nécessaire pour effectuer de nombreuses fins supposées des applications, telles que l’édition de photos, la gestion des téléchargements et l’utilisation du multimédia, des applications de navigateur ou de l’appareil photo.
Publicité
Dr.Web a déclaré que les fonctions des logiciels espions étaient fournies par un kit de développement logiciel (SDK) utilisé pour créer chaque application. Les SDK aident à rationaliser le processus de développement en automatisant certains types de tâches courantes. Dr.Web a identifié le SDK permettant l’espionnage comme SpinOK. Les tentatives de contacter le développeur SpinOK pour un commentaire ont été infructueuses.
Vendredi, la société de sécurité CloudSEK a étendu la liste des applications utilisant SpinOK à 193 et a déclaré que parmi celles-ci, 43 restaient disponibles dans Play. Dans un e-mail, un chercheur de CloudSEK a écrit :
Le logiciel espion Android.Spy.SpinOk est une menace très préoccupante pour les appareils Android, car il possède la capacité de collecter des fichiers à partir d’appareils infectés et de les transférer à des attaquants malveillants. Cette collecte de fichiers non autorisée expose les informations sensibles et personnelles au risque d’être exposées ou utilisées à mauvais escient. De plus, la capacité du logiciel espion à manipuler le contenu du presse-papiers aggrave encore la menace, permettant potentiellement aux attaquants d’accéder à des données sensibles telles que des mots de passe, des numéros de carte de crédit ou d’autres informations confidentielles. Les implications de telles actions peuvent être graves, entraînant le vol d’identité, la fraude financière et diverses atteintes à la vie privée.
La semaine ne s’est pas mieux déroulée pour les utilisateurs de Chrome qui obtiennent des extensions du Chrome Web Store de Google. Mercredi, Palant a signalé 18 extensions contenant du code délibérément obscurci qui a atteint un serveur situé sur serasearchtop[.]com. Une fois sur place, les extensions ont injecté un mystérieux JavaScript dans chaque page Web consultée par un utilisateur. Au total, les 18 extensions comptaient quelque 55 millions de téléchargements.
Vendredi, la société de sécurité Avast a confirmé les conclusions de Palant et identifié 32 extensions avec 75 millions de téléchargements signalés, bien qu’Avast ait déclaré que le nombre de téléchargements avait peut-être été artificiellement gonflé.
On ne sait pas exactement ce que le JavaScript injecté a fait car Palant ou Avast n’ont pas pu voir le code. Alors que les deux soupçonnent que le but était de détourner les résultats de recherche et de spammer les utilisateurs avec des publicités, ils disent que les extensions allaient bien au-delà d’un simple logiciel espion et constituaient plutôt un logiciel malveillant.
“Pouvoir injecter du code JavaScript arbitraire dans chaque page Web présente un énorme potentiel d’abus”, a-t-il expliqué. “La redirection des pages de recherche n’est que la seule façon *confirmée* d’abuser de ce pouvoir.”
