Dans une dizaine d'applications Android affichant au compteur des dizaines de millions d'installations sur le Play Store de Google, la société de sécurité mobile AppCensus a mis au jour la présence d'un code dissimulé qui permettait le recueil d'informations sensibles.

Parmi ces informations et en fonction des cas, le numéro de téléphone, l'adresse email, la localisation précise ou encore le contenu du presse-papiers. Également, l'adresse MAC d'un routeur et l'identifiant SSID du réseau.

En cause, un SDK (kit de développement) tiers qui transmettait les données collectées à un domaine mobile.measurelib.com. Derrière le SDK, AppCensus évoque une entreprise d'analytics Measurement Systems qui serait basée au Panama. Elle fait la promotion d'une solution de monétisation alternative aux revenus publicitaires.

measurement-systems

Du code espion pour le renseignement américain ?

Le nom de domaine measurementsys.com de Measurement Systems a été enregistré par l'entreprise américaine Vostrom Holdings. Pour cette dernière, le Wall Street Journal établit un lien avec une sous-traitance pour des services de renseignement américains.

Measurement Systems aurait indiqué aux développeurs des applications vouloir principalement des données sur des utilisateurs au Moyen-Orient, en Europe centrale et orientale, en Asie. " C'est une demande inhabituelle parce que les données des États-Unis et de l'Europe occidentale sont généralement les plus chères parmi les courtiers de données commerciaux. "

appcensus-applis-android-sdk-measurement-systems

Les applications concernées par le SDK pointé du doigt sont listées ci-dessus. Du côté des plus populaires, il y a par exemple une application de prière pour les musulmans, mais aussi un détecteur de radars routiers et une application pour transformer le smartphone en souris sans fil.

Le 25 mars, Google a retiré du Play Store les applications avec le code espion. Elle ont pu faire leur réapparition par la suite, sans la présence du SDK de Measurement Systems qui dans une réponse au Wall Street Journal dément " tout lien avec des sous-traitants de la défense américaine ou avec Vostrom. "