Mise à jour le 7 juin : Suite aux découvertes relatées dans cet article, l'application "Peel Smart Remote" a été retirée du Google Play.
L’application Peel Smart Remote disponible sur Google Play (plus de 100 millions de téléchargements) a souvent fait l’actualité pour ses comportements intrusifs, tels que l’affichage d’un overlay en plein écran et de publicités intempestives, causant une mauvaise expérience utilisateur.
La semaine dernière, le moteur d’analyse Pradeo Security a remonté une alerte à propos d’un problème de sécurité majeur dans la version 10.7.3.3 de cette application. En effet, celle-ci collecte les photos des utilisateurs pour les envoyer sur un serveur qui n’appartient pas au propriétaire de l’application. Vendredi dernier, l’appli a été mise à jour sur Google Play (maintenant version 10.7.4.2) et le comportement a été retiré. Cependant, aucune communication n’a été faite par l’entreprise Peel technologies sur le sujet.
La mise à jour des applications n’étant pas toujours automatisée sur Android, les millions d’utilisateurs qui exécutent encore la version antérieure de l’appli sont toujours exposés au risque de fuite de données.
Les photos envoyées vers un serveur externe
La version 10.7.3.3 de l’application Peel Smart Remote est programmée pour envoyer les photos du stockage externe des terminaux sur lesquels elle est installée vers un serveur qui n’appartient pas à Peel Technologies. Pour stopper la fuite de données, le Pradeo Lab conseille à tous les utilisateurs de l’appli de la mettre à jour dans les plus brefs délais.
Collecte des données
Envoi des données
Un nombre excessif de permissions demandées
Pour accéder aux photos des utilisateurs, l’application « Peel Smart Remote » demande les permissions suivantes :
Android.permission.WRITE_EXTERNAL_STORAGE
Android.permission.READ_EXTERNAL_STORAGE
Selon la documentation officielle de développement Android, « Le stockage externe est le meilleur endroit pour les fichiers qui n’ont pas besoin de restriction d’accès et pour les fichiers que vous voulez partager avec d’autres applications ou pour lesquels vous souhaitez autoriser l’accès depuis un ordinateur ». En écrivant des données sur le stockage externe, l’application Peel Smart Remote expose considérablement les données de ses utilisateurs. En y accédant, elle peut manipuler les photos, vidéos, fichiers audio et tout autre document personnel stocké à cet endroit.
De plus, il est intéressant de noter que l’application demande beaucoup d’autres permissions critiques, comme l’accès à la caméra, à la liste de contacts, au calendrier et même à l’enregistrement à travers le micro du téléphone. Pourtant, aucune de ces permissions ne semble nécessaire au bon fonctionnement de l’application, qui pour rappel, offre des services de télécommande universelle.
Android.permission.CAMERA
Android.permission.READ_CONTACTS
Android.permission.READ_CALENDAR
Android.permission.RECORD_AUDIO
Liste des permissions demandées par Peel Smart Remote
Autres informations sensibles envoyées sur le réseau
Finalement, il apparait dans le rapport fourni par le moteur Pradeo Security que l’application collecte des informations personnelles liées à l’âge de l’utilisateur, son ethnicité, ses revenus, ses orientation politique etc. et les envois également sur le réseau.
Collecte des données
Envoi des données
Infos sur l'application
Nom de package: tv.peel.smartremote
Version: 10.7.3.3
Installations: Plus de 100 millions
Éditeur: Peel Technologies
