C’est le spécialiste en sécurité mobile Pradéo qui lance l’alerte. Cette application du Google Play collecte et exfiltre les photos de ses utilisateurs vers un serveur externe, qui n’appartient pas à l’éditeur de l’application…
L’application Peel Smart Remote a été installée plus de 100 millions de fois. Un vaste nombre d’utilisateurs sont donc concernés par ce problème de sécurité. Il a été découvert par les équipes de Pradéo dans la version 10.7.3.3. Si, quelques jours après, l’appli à été mise à jour (version 10.7.4.2) et le comportement d’exfiltration des données supprimé du code, aucune communication n’a été faite par l’entreprise éditrice à ce sujet. La mise à jour des applications n’étant pas toujours automatisée sur Android, les millions d’utilisateurs qui exécutent encore la version antérieure de l’appli (10.7.3.3) sont toujours exposés au risque de fuite de données.
L’application “est programmée pour envoyer les photos du stockage externe des terminaux sur lesquels elle est installée vers un serveur qui n’appartient pas à Peel Technologies.”
Pour accéder aux photos des utilisateurs, l’application « Peel Smart Remote » demande les permissions suivantes :Android.permission.WRITE_EXTERNAL_STORAGE et Android.permission.READ_EXTERNAL_STORAGE
” En écrivant des données sur le stockage externe, l’application Peel Smart Remote expose considérablement les données de ses utilisateurs. En y accédant, elle peut manipuler les photos, vidéos, fichiers audio et tout autre document personnel stocké à cet endroit “, expliquent les chercheurs.
Ces derniers font également remarquer que l’application demande beaucoup d’autres permissions critiques (accès à la caméra, à la liste de contacts, au calendrier et même à l’enregistrement à travers le micro du téléphone) alors qu’aucune de ces permissions ne semble nécessaire au bon fonctionnement de l’application.
Pour stopper la fuite de données, le Pradeo Lab conseille à tous les utilisateurs de l’appli de la mettre à jour dans les plus brefs délais.