Découverte : un moniteur Bluetooth de batterie automobile exfiltre des données de localisation

 (doubleagent.net)
2 points par GN⁺ 2023-06-27 | 1 commentaires | Partager sur WhatsApp
  • Les moniteurs de batterie automobile équipés de Bluetooth enregistrent la tension de la batterie tout en collectant les coordonnées GPS, les données des antennes-relais cellulaires et les balises Wi‑Fi à proximité, puis transmettent ces informations à des serveurs situés à Hong Kong et en Chine continentale.
  • L’application Android exige une autorisation de localisation pour utiliser l’appareil matériel, ce qui oblige les utilisateurs à diffuser en continu leur position physique à des tiers pour pouvoir utiliser le produit.
  • L’App Store affirme qu’aucune donnée personnelle n’est collectée ni partagée, ce qui induit les consommateurs en erreur.
  • Cela soulève de graves problèmes de confidentialité, car il n’existe aucune raison légitime pour qu’une application de surveillance de batterie automobile suive la position de l’utilisateur.
  • Le produit totalise plus de 100 000 téléchargements rien que sur Android.
  • La bibliothèque embarquée utilisée, AMap, est l’un des principaux fournisseurs de cartographie numérique en Chine et contribue en partie à cette collecte de données à grande échelle.
  • Le SDK AMap collecte les coordonnées GPS, les données de localisation des antennes-relais voisines et les points d’accès Wi‑Fi ; dans la deuxième partie de cette série, l’auteur examine comment AMap recueille ces données.
  • Le matériel est simple, nécessite un appairage avec un smartphone, et l’application requise s’exécute en arrière-plan pour transformer le téléphone en dispositif de balayage de position.
  • L’application Android nécessite une autorisation de localisation pour obtenir les informations de position, et la version iOS transmet elle aussi des données de localisation à des serveurs distants.
  • mitmproxy est utilisé pour intercepter le trafic réseau, et Frida sert à l’analyse dynamique et à l’analyse mémoire.
  • L’application est packée avec qihoo.util, un packer logiciel commercial, ce qui complique le déchiffrement direct du bytecode Java depuis l’APK.

À lire aussi

1 commentaires

 
GN⁺ 2023-06-27
Commentaires sur Hacker News
  • Une application de moniteur Bluetooth de batterie automobile, téléchargée plus de 100 000 fois sur Google Play, envoie des données GPS, des identifiants de cellules du réseau mobile et des données de balises Wifi vers des serveurs à Hong Kong et en Chine continentale.
  • Cette application affirme ne pas collecter d’informations personnelles ni en envoyer à des tiers, mais c’est faux.
  • Les utilisateurs devraient pouvoir arrêter l’application au démarrage ou en arrière-plan, et le système d’exploitation devrait faire de l’accès à Internet une autorisation que l’utilisateur peut accorder ou retirer.
  • Android devrait disposer d’une fonction permettant de fournir de fausses données GPS à une application sur un appareil réel afin d’empêcher la collecte inutile de données de localisation.
  • Tous les appareils, et pas seulement ceux venant de Chine, peuvent collecter et transmettre de grandes quantités de données.
  • Le gouvernement américain devrait agir sur ce type d’appareils pour des raisons de sécurité nationale.
  • D’autres applications, comme l’application mobile Android de Victron pour la gestion de batterie, collectent également des données de localisation.
  • Les lecteurs peuvent y apprendre des choses sur le reverse engineering d’applications pour appareils connectés.