Collecte, exfiltration de données sur l'App Store : le mea culpa de TrendMicro, le malaise des utilisateurs (too late for apologize) !

Alors qu'en Juin dernier, le chef marketing d'Apple, Phil Schiller, vantait les mérites du store de la pomme verte, arguant que celui-ci était "l'endroit le plus sûr", début de ce mois de Septembre, des groupes de chercheurs avaient mis en lumière, sur les store pour Mac mais - aussi ! - iOS, certaines applications qui collectaient puis exfiltraient des données pour le compte de certains éditeurs. TrendMicro, un de ceux-là, avaient tenté de se justifier le 10 Septembre en expliquant avoir ouvert une enquête sur le sujet... Le 11 et 12 Septembre l'éditeur de solutions sécuritaires a confirmé le retrait de la plupart des applications incriminées le concernant...

 

 

Mais, petit retour en arrière, tout d'abord : début Septembre, Patrick Wardle pointait du doigt Adware Doctor, une application sécuritaire située, à l'époque, dans le top des Apps. Quand on creusait un peu, le PoC mettait en évidence un lien contenu dans un fichier de type JSON qui chargeait une base de données. Côté interface, le lancement d'un nettoyage faisait apparaître - via un utilitaire de processus - certains noms de fichiers assez douteux (dans le cadre d'un usage non-intrusif vertueux où les fonctions de pistage sont, alors, inutiles, pensons-le...). De ce fait, en éditant simplement le fichier host, l'on pouvait intercepter ou voir, ici, le contenu ainsi uploadé.

Et, du contenu, il y en a eu : principalement, l'historique Web de l'utilisateur qui avait installé une telle application pistée (Safari, Chrome et Firefox) ; cerise sur le gâteau (car oui, ce n'est pas fini), en cliquant sur "autoriser" (quand on installe, la première fois, une application), l'utilisateur autorise, certes, l'application a accéder aux éléments listés avant acceptation mais, en réalité, cela va bien au-delà puisque l'accord déverrouille l'accès à l'ensemble des fichiers et dossiers de l'utilisateur sur le terminal ainsi ciblé : "Adware Doctor contient plusieurs méthodes pour collecter diverses informations sur le système et l'utilisateur. Alors que certains (tels qu'une liste de processus) ont peut-être une raison légitime d'être collectés par un produit anti-malware ou anti-adware, d'autres, comme l'historique de navigation de l'utilisateur, semblent constituer une violation flagrante de la confidentialité de l'utilisateur (et, bien sûr, des règles strictes d'Apple Store d'Apple)", explique clairement Patrick Wardle, dans son billet du 7 Septembre dernier. Dans la finalité, les données collectées étaient, ensuite, exfiltrées vers des serveurs... En Chine !

Même son - alarmant - de cloche pour Malwarebytes qui pointe "Open any files", Dr Antivirus et Dr Cleaner... Avec Dr Unarchiver, cela faisait beaucoup d'applications reliant TrendMicro qui, loin de vouloir quitter le store (!), fait bonne figure en expliquant que, certes les données étaient collectées puis exfiltrées vers les États-Unis via des serveurs hébergés par AWS mais pour une faible période (24 heures) gardés bien au chaud pendant 3 mois et "permis par l'utilisateur" (comprenez : permis implicitement puisque non écrit en clair). Depuis, historiques de navigation et données d'utilisation ont été, selon la bonne foi de l'éditeur, supprimés de leurs serveurs. Pour Apple, c'est sa politique drastique d'applications hautement sélectionnées qui est remise en cause puisqu'en parallèle de l'App Store Mac, celui pour iOS est, également, concerné par l'affaire, avec des informations de tracking pour la plupart (localisation, informations techniques type batterie, publicité...) voire pire, des données dans un but de monétiser l'ensemble... A suivre !

 

 

Sources :