L’application « Peel Smart Remote » du Google Play divulgue les photos de ses utilisateurs

Posted by Le Pradeo Lab on 7 juin 2019 09:08:31

Mise à jour le 7 juin : Suite aux découvertes relatées dans cet article, l'application "Peel Smart Remote" a été retirée du Google Play.

 

L’application Peel Smart Remote disponible sur Google Play (plus de 100 millions de téléchargements) a souvent fait l’actualité pour ses comportements intrusifs, tels que l’affichage d’un overlay en plein écran et de publicités intempestives, causant une mauvaise expérience utilisateur.

La semaine dernière, le moteur d’analyse Pradeo Security a remonté une alerte à propos d’un problème de sécurité majeur dans la version 10.7.3.3 de cette application. En effet, celle-ci collecte les photos des utilisateurs pour les envoyer sur un serveur qui n’appartient pas au propriétaire de l’application. Vendredi dernier, l’appli a été mise à jour sur Google Play (maintenant version 10.7.4.2) et le comportement a été retiré. Cependant, aucune communication n’a été faite par l’entreprise Peel technologies sur le sujet.

La mise à jour des applications n’étant pas toujours automatisée sur Android, les millions d’utilisateurs qui exécutent encore la version antérieure de l’appli sont toujours exposés au risque de fuite de données.

 

 

Les photos envoyées vers un serveur externe

La version 10.7.3.3 de l’application Peel Smart Remote est programmée pour envoyer les photos du stockage externe des terminaux sur lesquels elle est installée vers un serveur qui n’appartient pas à Peel Technologies. Pour stopper la fuite de données, le Pradeo Lab conseille à tous les utilisateurs de l’appli de la mettre à jour dans les plus brefs délais.

 

Collecte des données

 

Envoi des données

 

 

 

Un nombre excessif de permissions demandées

Pour accéder aux photos des utilisateurs, l’application « Peel Smart Remote » demande les permissions suivantes :

Android.permission.WRITE_EXTERNAL_STORAGE
Android.permission.READ_EXTERNAL_STORAGE

Selon la documentation officielle de développement Android, « Le stockage externe est le meilleur endroit pour les fichiers qui n’ont pas besoin de restriction d’accès et pour les fichiers que vous voulez partager avec d’autres applications ou pour lesquels vous souhaitez autoriser l’accès depuis un ordinateur ». En écrivant des données sur le stockage externe, l’application Peel Smart Remote expose considérablement les données de ses utilisateurs. En y accédant, elle peut manipuler les photos, vidéos, fichiers audio et tout autre document personnel stocké à cet endroit.

De plus, il est intéressant de noter que l’application demande beaucoup d’autres permissions critiques, comme l’accès à la caméra, à la liste de contacts, au calendrier et même à l’enregistrement à travers le micro du téléphone. Pourtant, aucune de ces permissions ne semble nécessaire au bon fonctionnement de l’application, qui pour rappel, offre des services de télécommande universelle.

Android.permission.CAMERA
Android.permission.READ_CONTACTS
Android.permission.READ_CALENDAR
Android.permission.RECORD_AUDIO

 

Liste des permissions demandées par Peel Smart Remote

 

Autres informations sensibles envoyées sur le réseau

Finalement, il apparait dans le rapport fourni par le moteur Pradeo Security que l’application collecte des informations personnelles liées à l’âge de l’utilisateur, son ethnicité, ses revenus, ses orientation politique etc. et les envois également sur le réseau.

 

Collecte des données

 

Envoi des données

 

Le code original de l'application est obfusqué par un outil qui renomme le nom des fonctions par des lettres. Pour une meilleure compréhension, nous avons remplacé les lettres par des mots décrivant les fonctions.

 

Infos sur l'application

Nom de package: tv.peel.smartremote

Version: 10.7.3.3

Installations: Plus de 100 millions

Éditeur: Peel Technologies

 

Topics: Alerte Sécurité, Sécurité des Applications Mobiles