Quand Wiko envoie des données en Chine
Wiko s’est retrouvé au cœur d’une vilaine polémique en début de semaine lorsqu’un hacker a réalisé que les terminaux de la marque avaient la fâcheuse tendance à envoyer des données vers la Chine.
Elliot Alderson, c’est un pseudonyme, passe le plus clair de son temps à disséquer les smartphones fonctionnant sous Android pour trouver des portes dérobées ou éprouver leur sécurité. Le hacker a récemment eu l’occasion de s’intéresser aux appareils de la marque Wiko et il a alors eu la surprise de découvrir deux applications système un peu trop curieuses : ApeSale Tracker et ApeStsMonth.
En analysant leur comportement, l’expert a en effet réalisé que ces outils envoyaient un nombre conséquent de paquets à l’insu de l’utilisateur.
Wiko envoie des données vers la Chine
Intrigué, Elliot Alderson s’est attaché à suivre leur cheminement et il a alors découvert que ces données étaient en réalité envoyées vers les serveurs d’une entreprise établie en Chine : Tinno.
Ce nom vous est peut-être inconnu, mais cette entreprise est en réalité la maison mère de Wiko et de plusieurs autres marques comme Blu, Fly ou encore Evertek.
Le hacker s’est ensuite focalisé sur la nature des données envoyées vers les serveurs de cette société et il a ainsi analysé en détail les différents paquets émis par ces deux applications indiscrètes. D’après lui, ces données seraient de différentes natures et elles auraient notamment trait à l’IMEI, au numéro de téléphone, à la localisation de la cellule GSM, au numéro de série et à la version du logiciel système.
En poursuivant ses investigations, l’expert a également découvert que ces données étaient transmises tous les mois et que leur transmission se faisait sans le moindre chiffrement et donc en HTTP ou… par SMS.
Pire, l’envoi de ces données se ferait en plus à l’insu de l’utilisateur et ce dernier n’aurait aucun moyen de l’empêcher.
Wiko confirme, tout en minimisant le problème
Passablement agacé par la découverte, Elliot Alderson a partagé ses découvertes sur Twitter. Face à la situation, Wiko a fini par sortir de son silence et par donner son point de vue sur la question.
Le constructeur a confirmé l’existence de ces deux applications, tout en tentant de minimiser le problème. D’après le constructeur, ces outils n’ont pas pour but d’espionner l’utilisateur ou de récupérer ses données à son insu et l’entreprise les utiliserait ainsi afin d’établir des statistiques portant sur les ventes et la durée de vie de ses appareils.
Wiko a cependant reconnu que le système est imparfait et la société compte ainsi changer sa manière de fonctionner dans un avenir proche.
En attendant, Wiko n’est pas le seul constructeur à procéder de la sorte et OnePlus a ainsi été visé par les mêmes accusations le mois dernier. Face à la levée de bouclier suscité par la nouvelle, le fabricant a revu sa politique en matière de collecte des données afin de laisser le choix aux utilisateurs. Toutefois, à l’époque, Carl Pei avait également indiqué qu’il s’agissait d’une pratique courante dans l’industrie et cette nouvelle polémique semble lui donner raison.
<Thread> Hi @WikoMobile 👋! Let's talk about the ApeSaleTracker and ApeStsMonths apps found in your phones.
These apps are pre-installed system apps which send regularly and silently the user infos to a Chinese 3rd party called Tinno by HTTP or SMS without user consent— Baptiste Robert (@fs0c131y) November 19, 2017
Let's summarise:
1. @WikoMobile and Tinno is collecting your device info without user consent
2. As an end user you have no way to disable it.
3. They send SMS to China with your data without user consent
4. They send your data in clear text— Baptiste Robert (@fs0c131y) November 19, 2017