Android est souvent pointé du doigt pour bon nombre d’applications vérolées présentes dans son Play Store. Une situation à laquelle échappe Apple, généralement, ayant fait de la protection des utilisateurs l’une de ses philosophies. Mais la firme de Cupertino n’est pas parfaite et, malgré l’extrême sécurité de son App Store sur iOS, peut également être victime d’applications malveillantes. Et c’est ce qui a été révélé par les chercheurs en sécurité de Snyk, dans une longue explication résumée par 01Net. Pour résumer, 1200 applications téléchargeables sont l’App Store d’Apple contiennent un SDK frauduleux.
Ce dernier s’empare des informations privées de l’utilisateur pour les revendre.
Une atteinte à la vie privée et la protection des données, selon les chercheurs de Snyk.
Un vol illégal des données privées par un SDK publicitaire malveillant
C’est une mauvaise nouvelle pour Apple, qui mise sur la protection des données privées des utilisateurs dans sa communication. Comme le résume 01Net, plusieurs applications sous iOS, donc disponibles sur l’App Store, hébergeraient un SDK, sous forme publicitaire, qui récupère les informations sensibles des utilisateurs. Pire encore, ce sont 300 millions de téléchargements de ces dernières qui ont lieu… mensuellement.
Quant aux applications vérolées, on parle de 1200 disponibles sur l’App Store. Un petit pourcentage sur les millions disponibles dans la boutique virtuelle, mais un chiffre suffisamment grand pour inquiéter. Et si le nombre est connu par Styk, les chercheurs ne dévoilent pas la liste des applications hébergeant ce SDK publicitaire qui s’empare, illégalement, des informations de l’utilisateur.
Mais quel est le mode opération de cet SDK publicitaire ? Ce dernier s’occupe simplement de copier toutes les requêtes dans l’application, pour ensuite les envoyer à Mintegral, un service chinois destiné à la publicité. En récupérant ces données sensibles, le SDK publicitaire a pu les revendre à des plates-formes publicitaires, en les faisant passer pour des informations récoltées légalement. Quant à Mintegral, les chercheurs de Snyk expliquent que le service peut tout à faire de même en monétisant les données privées auprès des analystes.
De quoi empocher un beau magot sans que les utilisateurs de ces applications vérolées ne soient tenus au courant.