Baidu App et Baidu Maps, téléchargées 6 millions de fois rien qu’aux États-Unis, étaient quelques peu permissives. Elles collectaient des données telles que le modèle du téléphone, son adresse Mac ou encore l’adresse IMSI de l’utilisateur. Prévenu, Google les a chassées de sa boutique applicative, le temps que l’éditeur chinois corrige le tir.
Il n’est pas rare que les applications mobiles soient de vraies pompes à données, demandant des permissions et collectant des informations qui n’ont parfois rien à voir avec les finalités du service. Palo Alto Networks a ainsi découvert que deux des applications du géant chinois Baidu, Baidu App et Baidu Maps, sont de véritables sangsues.
Selon le rapport d’Unit 42, le laboratoire de recherche de Palo Alto, les deux applications collectaient par le biais d’un SDK tiers diverses données de leurs utilisateurs, à l’instar du modèle du terminal, de son adresse Mac et son IMEI et surtout du numéro IMSI de l’abonné.
Données sensibles
“Les données telles que l'IMSI ou l'IMEI sont souhaitables pour les cybercriminels, qui peuvent utiliser des méthodes telles que les capteurs IMSI actifs et passifs pour entendre ces informations des utilisateurs de téléphones portables” souligne Unit42. “Ces données peuvent également être utilisées à mauvais escient par des cybercriminels ou des acteurs étatiques pour violer la vie privée d'un utilisateur et profiter des informations divulguées pour intercepter les appels téléphoniques ou les SMS”.
Les deux applications comptent 5 millions d’utilisateurs pour Baidu App et 1 million pour Baidu Maps rien qu’aux États-Unis. Prévenu en octobre, Google a supprimé les deux apps de son Play Store fissa, indiquant avoir repéré plusieurs autres violations de ses politiques. Baidu App y a fait son retour après une mise à jour le 19 novembre, tandis que Maps demeure bannie, l’éditeur chinois promettant une mise à jour début décembre.
Baidu nie en bloc les accusations formulées par Unit42, expliquant que les données n'étaient collectées que pour activer les notifications Push, comme indiqué dans l’accord de confidentialité. Le géant chinois précise avoir pris connaissance du problème et entrepris de le régler avant que Palo Alto ne publie son rapport.