Une application développée pour espionner des utilisateurs de smartphones à leur insu aurait laissé fuiter les données personnelles de ses victimes. Une faille de sécurité massive qui concernerait des dizaines de milliers de personnes.
Des applications d’espionnage qui ont pignon sur rue
Pas besoin d’être un hacker de haute volée pour utiliser des applications d’espionnage. Ces dernières se trouvent en quelques clics sur Internet, se vantant d’avoir été élues « meilleur logiciel de surveillance sur téléphone probable », ou offrant des « fonctionnalités de surveillance mobile de pointe ». Très populaires, elles sont commercialisées pour espionner les appareils d’un conjoint, d’un enfant, d’un collègue…
Ces applications, également appelées « stalkerware », sont installées par des espions (ou des proches) qui ont un accès physique au téléphone de la personne surveillée, contournant ainsi la sécurité de l’appareil. Ces applications sont conçues pour rester cachées sur le téléphone, les rendant ainsi difficiles à détecter. L’intégralité des données personnelles peut ensuite être siphonnée et envoyée sur des serveurs. On parle ici d’enregistrement de vos appels vocaux, conversations WhatsApp, SMS, localisation GPS, fichiers photos et vidéos, etc.
Ci-dessus, l’application Xnspy qui collecte un nombre impressionnant de données en échange d’un abonnement annuel plus ou moins onéreux qui dépend des fonctionnalités auxquelles vous voulez avoir accès. Malheureusement, des chercheurs en sécurité se sont penchés sur ces applications d’espionnage, révélant qu’elles étaient criblées de failles de sécurités, exposant ainsi les données volées sur les téléphones des victimes.
Des données (très) privées dans la nature
C’est dans le cadre d’une conférence donnée en ce mois de décembre dans le cadre de l’évènement « BSidesLondon » que les chercheurs Vangelis Stykas et Felipe Solferini ont révélé l’ampleur des dégâts. Ainsi, des applications d’espionnage comme Xnspy sont pleines de failles de sécurité exposant les données de leurs victimes. Sont par exemple citées la présence d’informations d’identification ou des clés privées dans le code par les développeurs, avec un mauvais cryptage, ou pas de cryptage du tout.
Autant d’informations privées qui sont maintenant sur des serveurs non sécurisés. Les chercheurs ont d’ailleurs préféré ne pas divulguer trop de détails autour de ses failles, qui existent selon eux depuis des années. En effet, ils ne souhaitent pas partager des informations sensibles qui pourraient donner des idées à des personnes mal intentionnées et nuire (encore plus) aux victimes de ces applications.
Une enquête qui fait écho à celle autour du logiciel TheTrueSpy dont nous vous parlions il y a quelques semaines. Selon nos confrères de TechCrunch, l’application Xnspy évoquée aujourd’hui compterait au moins 60 000 victimes depuis 2014. L’application continue d’être utilisée en 2022, principalement sur Android dans la mesure où il est plus facile d’installer ce type d’application sur l’OS mobile de Google.
A lire aussi : Désinstallez ces quatre applications mobiles qui affichent des pubs et volent vos données personnelles
Mais les iPhone ne sont pas épargnés pour autant. En effet, des milliers de smartphones Apple seraient infectés en utilisant les informations d’identification iCloud de la victime. L’application télécharge alors régulièrement la dernière sauvegarde iCloud disponible, à l’insu du propriétaire du compte.
C’est l’occasion pour nous de vous rappeler que l’activation de l’authentification double facteur sur vos comptes en ligne ne devrait plus être une option si vous voulez profiter du meilleur niveau de sécurité possible.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : TechCrunch
Et sous iOS, il faut au préalable jailbreaké l’appareil pour la majorité de ce type d’applis, ce n’est donc pas à la portée de tous sans compter de toutes les versions d’iOS ne sont pas compatibles avec le jailbreak. Celles que l’on trouve sur l’App Store se limitent généralement à localiser son propre appareil telle que l’application officielle Apple Localiser.