La face cachée de l'application Uber

Posted by Roxane Suau on 13 oct. 2017 10:38:16

Dernièrement, beaucoup d’articles font état d’applications mobiles ayant des comportements intrusifs ou malveillants. Le fait est que, en tant qu’utilisateurs nous ne voyons qu’une infime partie des actions réalisées par nos applications mobiles, le reste d’entre elles étant exécutées en arrière-plan. Tel un iceberg, 90% des actions d’une appli sont cachées et par conséquent, difficile à contrôler.

iceberg.png

Pour fonctionner, une application a besoin d’accéder à certaines données telles que la localisation de l’utilisateur, sa liste de contacts ou encore sa photothèque… Une fois collectées, ces données sont placées dans un fichier local et/ou envoyées vers un serveur distant.

Quand un utilisateur autorise l'accès à ses données, il s'attend à ce que l’appli les utilise uniquement dans le but de fournir son service. Pourtant, beaucoup d’applications vont au-delà, engendrant des fuites de données.

Notre moteur d’analyse comportementale scanne des milliers d’applications chaque jour et les résultats sont sans équivoque : la plupart des applis multiplient les usages des données qu’elles collectent, soulevant des questions d’éthique.

 

L’application Uber ayant récemment fait la une des journaux, nous avons décidé de publier les éléments clés détectés par notre moteur sur cette application. Voici les résultats :

  • L’application envoie des informations sur l’utilisateur et le téléphone vers 9 serveurs distants (analytique, paiement, publicité…).
  • L’application envoie la liste de contacts vers un serveur distant (nom et numéro de téléphone).
  • L’application a 3 vulnérabilités OWASP.
  • L’application vérifie si le terminal est rooté afin d’exécuter certaines commandes.

 

COMPORTEMENTS DETECTES

L’application vérifie si le terminal est rooté afin d’exécuter certaines commandes.

L'application génère une clé de chiffrement publique (pour chiffrer du contenu, ou vérifier la signature des messages qui lui sont destinés et l'identité de l'expéditeur).

L'application génère une clé de chiffrement privée (pour signer du contenu ou déchiffrer les messages qui lui sont destinés).

L’application lance un fichier audio ou vidéo.

L’application modifie les réglages de l’appareil photo.

 

ENVOI DE DONNEES

Ce tableau comprend un extrait des données envoyées par l’application Uber vers des serveurs distants.

DESTINATIONS

DONNEES ENVOYEES

https://www.paypalobjects.com (Librairie Paypal)

https://logs.juspay.in (Suivi du statut de paiement)

https://settings.crashlytics.com (Contrôle des rapports d'erreurs)

https://api.paypal.com (API Paypal)

https://paypal.112.2o7.net (Serveur tiers Paypal)

https://api-m.paypal.com (API Paypal)

Données de l'utilisateur

Informations sur les contacts (nom, numéro…)

Localisation

 

Données du téléphone

Identifiants du terminal: IMEI, numéro de série

Informations du réseau téléphonique: nom de l'opérateur, type de réseau (3G, 4G…)

Informations réseau: adresse MAC, état de la connexion Wi-Fi

Informations du terminal: Constructeur, nom du modèle, niveau de batterie, niveau maximum de batterie, version du système d'exploitation...

 

https://googleads.g.doubleclick.net (Publicité Google)

Données de l'utilisateur

Informations sur les contacts (nom, numéro…)

Localisation

 

Données du téléphone

Identifiants du terminal: IMEI, numéro de série

Informations du réseau téléphonique: nom de l'opérateur, type de réseau (3G, 4G…)

Informations réseau: adresse MAC, état de la connexion Wi-Fi

Informations du terminal: Constructeur, nom du modèle, niveau de batterie, niveau maximum de batterie, version du système d'exploitation...

 

Données de l'application

Préférences des applications

Fichier issu des données statiques de l'application (données compilées dans l'application)

 

https://csi.gstatic.com (Fourni du contenu statique à Google)

https://www.google.com (Google)

Données de l'utilisateur

Informations sur les contacts (nom, numéro…)

Localisation

 

Données du téléphone

Identifiants du terminal: IMEI, numéro de série

Informations du réseau téléphonique: nom de l'opérateur, type de réseau (3G, 4G…)

Informations réseau: adresse MAC, état de la connexion Wi-Fi

Informations du terminal: Constructeur, nom du modèle, niveau de batterie, niveau maximum de batterie, version du système d'exploitation...

 

Données de l'application

Fichier cache

 

 

 

VULNERABILITEES OWASP 

LOG: Une application tierce pourra exécuter une commande qui lui permet de récupérer les logs contenant des informations potentiellement sensibles.

IMPLICIT-INTENT: Des informations sensibles qui sont diffusées en utilisant la méthode de "l'intent implicite" sont susceptibles d'être interceptées par une application tierce malveillante.

X.509TRUSTMANAGER: Implémentaion non sécurisée de l'interface X509TrustManager, qui ignore toutes les erreurs de validation du certificat SSL lors de l'établissement d'une connexion en HTTPS à un hôte distant, ce qui a pour effet de rendre l'application vulnérable à une attaque de type Man-in-the-Middle.

 

Application analysée: 

Uber - Android version 4.173.3

sha1: 0526cee8bce8fd86fe0f880882244bf830f4392c

Package: com.ubercab

 


 

 Découvrez le moteur d'analyse comportementale PRADEO SECURITY

 

 

Topics: Sécurité des Applications Mobiles