Dans la plupart des cas, les applications Android « gratuites » que vous téléchargez depuis le Google Play Store ne le sont pas réellement. Les développeurs ne créent pas des applications gratuites par pure gentillesse. Comme la plupart des services en ligne qui ne demandent pas un paiement direct, ce type de modèle d’application mobile repose sur la publicité et les achats intégrés.
Pendant le processus de développement, les développeurs de l’application choisiront souvent une bibliothèque de bannières publicitaires fournie par une société tierce et l’intégreront à leur application. Une fois qu’une application est publiée sur Google Play Store et qu’elle commence à être téléchargée par les utilisateurs Android, cette société tierce est responsable de diffuser des publicités et de payer le développeur de l’application.
Ni le développeur, ni l’utilisateur ne peuvent contrôler ces publicités, les informations qu’elles collectent, les publicités qu’ils obtiennent, ou comment elles interagissent avec l’appareil de l’ordinateur. Certaines bibliothèques de bannières publicitaires sont parfaitement directes et responsables mais d’autres sont trompeuses et inconsidérées.
Une bibliothèque de bannières publicitaires très populaire sur Android, qui se vante d’être dotée de nombreuses fonctionnalités, excessives et intrusives, et qui contient une pléthore de vulnérabilités dynamiques et potentiellement exploitables, a été téléchargée dans des applications plus de 200 millions de fois. Le comportement de cette bibliothèque est si dangereux que les chercheurs de FireEye qui l’ont analysée refusent de mentionner son nom et préfèrent l’appeler « Vulna » : un mélange des deux mots qui selon eux décrivent le mieux cette bibliothèque : vulnérable et agressive.
Comme de nombreuses bibliothèques de bannières publicitaires, Vulna a la capacité de collecter des informations sensibles telles que le contenu des SMS, les historiques d’appels et les répertoires de contacts. En outre, et de manière encore plus inquiétante, les publicités de Vulna peuvent également exécuter des codes téléchargés (c’est à dire installer des composants) sur les appareils Android dotés d’applications utilisant cette bibliothèque.
Encore pire : la longue liste de vulnérabilités affectant le service publicitaire Vulna signifie que les pirates peuvent exploiter à distance les nombreux bugs, prendre le contrôle des fonctionnalités du réseau publicitaire et les utiliser à de mauvaises fins contre l’utilisateur dont l’appareil dispose de Vulna. En d’autres termes, et c’est la raison pour laquelle FireEye refuse de divulguer le nom du réseau publiquement, les millions d’appareils sur lesquels Vulna diffuse des publicités sont susceptibles de subir des vagues d’attaques.
S’il profite des vulnérabilités, qui proviennent certainement de l’absence de chiffrement des données qui circulent dans les deux directions entre les serveurs de Vulna et les appareils des utilisateurs, un pirate doué pourrait théoriquement effectuer l’une des choses suivantes : voler des codes d’authentification à deux facteurs envoyés via SMS, accéder à vos photos et autres fichiers, installer des applications malveillantes et des icônes sur l’écran principal, supprimer des fichiers et des données, effectuer des appels téléphoniques, utiliser secrètement l’appareil photo et changer les signets afin qu’ils redirigent l’utilisateur vers des sites malveillants. Il pourrait également espionner les appareils affectés sur les réseaux Wi-Fi publics, créer des botnets et pirater les serveurs du nom de domaine (DNS) de Vulna. Cela permettrait au pirate de rediriger le trafic du réseau publicitaire vers un site qu’il contrôle et c’est arrivé récemment dans une attaque à grande échelle ayant affecté Twitter et le New York Times.
Il est difficile pour un utilisateur de savoir s’il utilise une application affiliée à Vulna sur son mobile à cause de la manière dont celui-ci reçoit les commandes HTTP du serveur de contrôle. Son code est propriétaire et étouffé, ce qui signifie que seul ses créateurs sont autorisés à l’examiner. Il est donc difficile de savoir ce que prépare le réseau publicitaire.
Heureusement, FireEye a été bien plus explicite concernant l’identité de Vulna quand ils ont contacté Google et la société responsable de la bibliothèque de bannières publicitaires de Vulna. Il y a peu de temps, FireEye a annoncé que Google et la société responsable ont réalisé des changements positifs importants. Google a supprimé un nombre conséquent d’applications qui abusaient de ces comportements et a supprimé les comptes des développeurs responsables de celles-ci. De nombreux développeurs ont mis à jour leurs applications avec la dernière version de Vulna qui est moins invasive, alors que d’autres ont tout simplement choisi de ne plus l’utiliser.
Malheureusement, de nombreux utilisateurs Android n’installent pas les mises à jour de leurs applications et restent donc vulnérables à ces menaces. D’ailleurs, FireEye estime que 166 millions de téléchargements contiennent encore la mauvaise version de Vulna.
Nous recommandons évidemment à tout le monde d’installer les mises à jour, car si vous ne le faites pas, personne ne pourra alors vous aider. Vous devez également faire attention aux adwares. Les versions payantes des applications semblent peut-être un gaspillage d’argent quand il existe des applications gratuites qui remplissent la même fonction, mais la triste vérité est que rien n’est gratuit. La plupart des applications soi-disant « gratuites » sont supportées par la publicité et comme Vulna l’illustre si bien, il est souvent impossible de savoir ce que font ces bibliothèques de bannières publicitaires et comment elles sont gérées.
Imaginez une seconde qu’un hacker pirate les serveurs DSN de Vulna et redirige tous les clics vers un site capable de voler vos identifiants ou doté d’un cheval de Troie bancaire. Les comptes bancaires de millions d’utilisateurs pourraient potentiellement être compromis. Le prix à payer, en termes de temps et d’argent, associé aux complications pour récupérer votre compte bancaire, dépasserait certainement les quelques euros que cela vous aurait coûté si vous aviez acheté la version payante dès le début. Bien évidemment, les applications payantes ne sont pas toujours disponibles ou abordables.
Mais au moins, lisez et surveillez constamment les permissions des applications que vous téléchargez et désactivez les installations provenant de sociétés tierces dès que c’est possible.