Sécurité : Pradeo alerte sur l’application Peel Smart Remote

Le Pradeo Lab, de l’entreprise montpelliéraine Pradeo spécialisée dans la sécurité mobile, vient de publier une alerte à propos de l’application Peel Smart Remote. Cette dernière collecte et exfiltre les photos de ses utilisateurs vers un serveur externe qui n’appartient pas à l’éditeur de l’application.

Disponible sur Google Play et comptant plus de 100 millions d’installations, l’application Peel Smart Remote a souvent fait l’actualité pour ses comportements intrusifs, tels que l’affichage d’un overlay en plein écran et de publicités intempestives, causant une mauvaise expérience utilisateur.

Un problème de sécurité majeur dans la version 10.7.3.3

La semaine dernière, le moteur d’analyse Pradeo Security a remonté une alerte à propos d’un problème de sécurité majeur dans la version 10.7.3.3 de cette application. En effet, celle-ci collecte les photos des utilisateurs pour les envoyer sur un serveur qui n’appartient pas au propriétaire de l’application. Vendredi dernier, l’appli a été mise à jour sur Google Play (maintenant version 10.7.4.2) et le comportement a été retiré. Cependant, aucune communication n’a été faite par l’entreprise Peel technologies sur le sujet.

La mise à jour des applications n’étant pas toujours automatisée sur Android, les millions d’utilisateurs qui exécutent encore la version antérieure de l’appli (10.7.3.3) sont toujours exposés au risque de fuite de données. La société montpelliéraine Pradeo recommande fortement à tous les utilisateurs de cette application « de supprimer l’application ou de la mettre à jour vers sa version la plus récente ».

Un nombre excessif de permissions demandées

Pour accéder aux photos des utilisateurs, l’application Peel Smart Remote demande les permissions suivantes :

Android.permission.WRITE_EXTERNAL_STORAGE
Android.permission.READ_EXTERNAL_STORAGE

Selon la documentation officielle de développement Android, « Le stockage externe est le meilleur endroit pour les fichiers qui n’ont pas besoin de restriction d’accès et pour les fichiers que vous voulez partager avec d’autres applications ou pour lesquels vous souhaitez autoriser l’accès depuis un ordinateur ». En écrivant des données sur le stockage externe, l’application Peel Smart Remote expose considérablement les données de ses utilisateurs. En y accédant, elle peut manipuler les photos, vidéos, fichiers audio et tout autre document personnel stocké à cet endroit.

De plus, il est intéressant de noter que l’application demande beaucoup d’autres permissions critiques, comme l’accès à la caméra, à la liste de contacts, au calendrier et même à l’enregistrement à travers le micro du téléphone. Pourtant, aucune de ces permissions ne semble nécessaire au bon fonctionnement de l’application, qui pour rappel, offre des services de télécommande universelle.

Android.permission.CAMERA
Android.permission.READ_CONTACTS
Android.permission.READ_CALENDAR
Android.permission.RECORD_AUDIO

Autres informations sensibles envoyées sur le réseau

Finalement, il apparait dans le rapport fourni par le moteur Pradeo Security que l’application collecte des informations personnelles liées à l’âge de l’utilisateur, son ethnicité, ses revenus, ses orientation politique…. et les envois également sur le réseau.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *