Vous n’êtes pas connecté à Internet.
SmartphoneSavoir-faire 3344

Alerte sécurité: Meitu – l’appli catapulte vos données personnelles en Chine

L’application chinoise Meitu embellit vos photos d’après les critères de beautés chinois – avec faste, kitch et des tons pastel. Et elle envoie des données personnelles en Chine sans y être invitée. Donc: n’installez pas l’appli ou désinstallez-la.

Le journal gratuit 20 minutes annonçait hier: «Raz de marée des filtres de l’app de selfie Meitu». Cet article parle de la fureur provoquée par l’application Meitu. Il y aura certainement un grand nombre de personnes qui téléchargeront l’application dans les prochains jours.

L’utilisateur qui télécharge l’application sur son téléphone prend des risques: sur son compte Twitter, le Security Researcher FourOctets a porté l’attention sur les brèches de sécurité suivantes

«Pour votre gouverne, l’appli photo qui vous fait ressembler à un personnage d’anime envoie vos IMEI en Chine»

Comme Twitter fait maintenant partie des plates-formes d’échange dans le domaine InfoSec, la recherche a été lancée. Incrédule, Greg Linares poste le Tweet suivant: «Si j’ai bien compris, vous avez installé une application avec les permissions suivantes. Tenez-moi au courant de ce que cela donne.»

Toutes les autorisations de l’appli Meitu

En français:

Historique de l'appareil et des applications

  • Récupérer les applications en cours d'exécution

Données de localisation

  • position approximative (réseau)
  • position précise (basée sur GPS et réseau)

Téléphone

  • voir l'état et l'identité du téléphone

Photos/multimédia/fichiers

  • Lire le contenu de la mémoire de stockage USB
  • Modifier ou supprimer le contenu de la mémoire de stockage USB

Espace de stockage

  • Lire le contenu de la mémoire de stockage USB
  • Modifier ou supprimer le contenu de la mémoire de stockage USB

Caméra

  • prendre des photos et filmer des vidéos
  • Informations relatives à la connexion Wi-Fi
  • afficher les connexions Wi-Fi

Identifiant de l'appareil et informations relatives aux appels

  • voir l'état et l'identité du téléphone

Autre

  • recevoir des données depuis Internet
  • afficher les connexions réseau
  • modifier les paramètres d'affichage du système
  • bénéficier d'un accès complet au réseau
  • modifier vos paramètres audio
  • s'exécuter au démarrage
  • Réorganiser les applications en cours d'exécution
  • contrôler le vibreur
  • empêcher la mise en veille de l'appareil
  • Vérification de licence Google Play

Pour comparer: l’appli Facebook s’intéresse à vos données de la même façon, mais offre aussi bien plus de fonctions. Pour Meitu, l’accès à la mémoire et à l’appareil photo aurait été suffisant si les programmeurs avaient eu le droit d’être minimalistes.

Qu’est-ce que mon IMEI?

IMEI signifie Mobile Equipment Identity. Littéralement: identité internationale d'équipement mobile. Tous vos «smart» dans votre poche ont un IMEI, c’est-à-dire votre smartphone, votre smartwatch, votre tablette, votre phablet, etc. Le numéro IMEI est une suite de chiffres. Chaque appareil a un numéro unique qui reste, en général, secret et inutilisé. Avec l’IMEI, on peut savoir avec certitude quel téléphone est utilisé pour la transmission du signal.

L’IMEI est l’un des sets de métadonnées les plus importants dans le domaine mobile. Certes, il ne vous identifie pas directement, mais si vous avez un compte sur votre téléphone que vous avez protégé avec un mot de passe, PIN ou empreinte digitale et que votre compte se nomme prénom.nom@gmail.com ou presque, alors tout est clair.

Dans cette vidéo (en allemand), l’analyste de données David Kriesel nous explique tout ce que l’on peut faire avec les métadonnées (à partir de 12:08).

De plus, d’après AndroidPolice.com, les données concernant les modèles de smartphone, les résolutions des écrans, les versions Android et iOS, l’adresse MAC des l’appareils et d’autres données sont transmises au serveur chinois.

En échange de selfies, Meitu envoie ces données dans le monde entier. Entre autres en Chine, un pays qui ne se préoccupe pas toujours des droits de l’homme et de la loi.

Pourquoi est-ce que Meitu fait ça?

On spécule encore beaucoup sur les raisons, mais l’utilisateur Twitter Pheonix7284 pense avoir une solution. Il renvoie à un article sur le site InsidePrivacy.com, qui décrit les nouvelles conditions devant être remplies par les applications en Chine.

En bref: depuis le 1er août 2016, toutes les applications programmées en Chine doivent récolter des métadonnées.

  • Les applications doivent authentifier leurs utilisateurs en attachant un numéro de téléphone vérifié ou toutes autres données identifiées à un profil en ligne. Donc, votre profil Twitter anonyme est lié à votre compte nommé prénom.nom@gmail.com.
  • Les enregistrements de vos activités doivent être enregistrés durant 60 jours
  • L’application doit respecter des régulateurs et se procurer des licences spécifiques à cette dernière. Ceci n’est pas décrit plus précisément.
  • Les prestataires de l’appli doivent pouvoir s’assurer que leur application n’autorise aucune publication pouvant enfreindre la loi chinoise d’une quelconque manière.
  • Les prestataires de l’appli doivent pouvoir dépister ces effractions côté logiciel
  • Les prestataires de l’appli doivent mentionner la totalité des effractions sans exception
  • Les prestataires de l’appli doivent se soumettre à une ou plusieurs inspections des autorités locales

La Chine pratique encore la censure. Besoin d’exemples?

Si vous cherchez «Tiananmen Square» (littéralement : place de la porte de la Paix céleste) dans la version suisse de Google, les résultats suivants apparaissent:

Premier résultat de recherche: des protestations contre le gouvernement

Si vous cherchez 天安门广场 – la traduction chinoise du nom de lieu – sur Google Hong Kong (il n’existe pas de version chinoise directe), vous trouvez les résultats suivants:

Premier résultat de recherche: l’article Wikipédia de la place en elle-même

Mais, dernière son grand pare-feu, la Chine à son propre moteur de recherche; il s’appelle Baidu. Donc, si nous lançons Baidu et cherchons 天安门广场, les résultats suivants apparaissent:

Aucune trace de protestations

Les répercutions de la censure

Vous vous demandez certainement «Quelles protestations?». Peut-être que vous ne savez pas beaucoup de choses sur ces protestations, mais vous avez certainement déjà vu une photo. Les Chinois qui ne cherchent jamais en dehors de la Chine ne connaissent pas l’image iconique du Tank Man.

L’homme au sac de provisions n’est toujours pas connu

En dehors de la Chine, l’image se trouve facilement en utilisant directement la version Google internationale. Le problème est que cela pourrait déjà compter comme une infraction à la loi chinoise et vous marquerait comme un dissident politique. En tant que touriste, ce n’est pas vraiment un gros problème. Mais en tant que citoyen chinois qui doit vivre en Chine, vous avez de gros problèmes qui, dans le pire des cas, pourraient se transformer en une exécution.

Les mécanismes imposés aux prestataires d’application chinoises – surtout ceux avec des caractéristiques identificatoires – sont donc présents pour dépister et identifier les dissidents. Il ne s’agit exceptionnellement pas de publicité, mais de vies humaines.

Maintenant, ma question polémique: voulez-vous, en échange de quelques selfies pas comme les autres, divulguer votre identité aux Chinois pour qu’ils puissent analyser vos données et peut être vous marquer comme dissident et danger pour leur gouvernement?

Ces articles pourraient aussi vous intéresser

User
Journaliste. Auteur. Pirate. Mes thèmes se tournent souvent autour d'Android ou d'Apple iOS. J'attache aussi beaucoup d'importance à la sécurité informatique, car la sécurité des données n'est, de nos jours, plus un détail insignifiant, mais bien une stratégie de survie.

Commentaires 33

User Drachenherz

Dominik, danke für diesen Beitrag. Wie sieht es eigentlich mit der ganzen Hardware made in China aus? Ich habe mal gelesen, dass bei Huawei oder Xiaomi-Handies in der Firmware integrierter und nicht entfernbarer "nach-hause-telefonieren"-Code gefunden wurde. Ist da was dran?

20.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Midni9ht

Vielen Dank an Dominik für diesen Hinweis. Ob an den Gerüchten über Huawei und Xiaomi etwas dran ist, würde mich auch interessieren.

20.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Dominik Bärlocher

Hey ihr zwei

Danke für die netten Worte. Ich werde so lange InfoSec-Texte schreiben, wie ich Herzli dafür bekomme. Weil das beweist, dass ihr die lesen wollt und gut findet.

Das mit der China-Hardware kann ich euch noch nicht sagen, aber ich werde mich sicher mal dahinterklemmen. So ohne jede Recherche aber schätze ich mal (also nagelt mich nicht drauf fest), dass wenn China in irgendeiner Form Daten sammelt, sie das softwareseitig tun. Denn hardwareseitig müsste wohl ein ganzer sekundärer Telefoniekreislauf verbaut werden, der abseits der SIM funktionieren könnte. Theoretisch. Aber ich geh dem mal nach. Kann aber eine Weile dauern. Ich hoffe, ihr habt Geduld.

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User arthobc

Herzlichen Dank für die in Aussicht gestellte Recherche!
Bin ebenfalls sehr daran interessiert ...
Und weiterhin besten Dank für die stets sehr interessanten & aufschlussreichen Artikel!

24.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User paul.maceoin

I really like that digitec is posting this kind of information. Although I saw the warning first on twitter, it's nice to know that your local hardware provider is not promoting an app that potentially had dangerous implications for privacy. Thanks guys!

20.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User alain1989

Dieses "Tankman" Foto finde ich einfach unglaublich.

20.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User fippi22

Das ist sehr gut über solche Themen zu informieren. Leider muss man nicht einmal ein App installieren und Google weiss mehr als sie eigentlich dürften. Willkommen in der Ära der Überwachung & Werbung.

21.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User pcfreack12

Das stimmt, jedoch geht es in diesem Beitrag nicht um den Datenhunger von Google, sondern um die Überwachung und Zensurierung des chinesischen Volkes durch deren Regierung.

22.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User .Nyze

Nur noch so als kleiner Hinweis ;) Beziehungsweise als Klarstellung:
In China ist Google ganz geblockt. Nur über jeweilige Proxy-Server in Hong-Kong kann man die Sperre umgehen :).

22.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User C.Rafted

Danke Dominik

Ich finde immer Mehr Posts wie diesen die die Leute auf sicherheits risiken u.ä. hinweisen! finde ich super!

auf für eine Sichere Internet Schweiz!

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Anonymous

Whatsapp sendet ungefragt Daten in die USA. Warum warnt ihr davor nicht?

24.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User arthobc

Darüber wird und wurde stets gewarnt. Vorliegend ist - für mich - interessant und hilfreich auch neue Apps in dieser Hinsicht zu kennen.

24.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Es war eine rhetorische Frage. Im Prinzip kommt's überhaupt nicht darauf an, weil es der Mehrheit einfach schnurzpiepegal ist, was mit ihren Daten passiert, solange sie in Hände von grossen Konzernen oder Staaten fallen. Aber wenn du als Privater Informationen bekommst, bist du gleich ein Datendieb... So zumindest ist die Einstellung vieler.

25.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User williamsun

Welche Fotoapp kann denn die USB-Speicherinhalte nicht lesen, nicht ändern oder nicht löschen, Bilder oder Videos nicht aufnehmen, Standort nicht ermitteln? Bitte nenne ein Beispiel.

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User williamsun

Welche Fotoapp kann denn die USB-Speicherinhalte nicht lesen, nicht ändern oder nicht löschen, Bilder oder Video nicht aufnehmen, den aktuellen Standort nicht ermitteln? Bitte nenne ein Beispiel.

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User unfam0us

And what about Facebook (whatsapp), Twitter, Instagram, Cloud application, and whatever, no one unistall them and it's a lot worse, it's not just about metadata but about our entire private life+metadata.

But yes, I will never install that application.

31.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User XXXXXX

Der Zug ist eh schon abgefahren und je mehr du dich bemühst deine Daten zurück zu halten, umso verdächtiger wirst du;)

20.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User miloradmir

Ich finde es schlecht das Digitec solche politische Beiträge auf eigene Seite zulässt. Dieser Beitrag hat nicht mit Fachwissen zu tun. Wenn Herr Dominik Bärlocher mit der politischen Zensur im China nicht einverstanden ist und Bilder über Proteste im China verbreiten möchte, dann bitte wo anders.

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User C.Rafted

Gan klar geht es hier in erster linie darum die User zu schützen und warnen! das Mit der Zensur ist lediglich etwas abgeschweift.

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User williamsun

Was kann denn China mit all diesen Informationen einen Digitec User antun?! Ich finde dieser Beitrag auch lächerlich.

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User arthobc

Wichtig ist die Information ... was der Leser damit anfängt ist wohl das Ergebnis seines eigenen Denkergebnisses (oder sollte es jedenfalls sein).

24.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User ismailisab

Wirklich schlimm wenn andere wissen welche iOS oder Android Version du benutzst. Oder welche Bildschirmauflösung.

20.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User m.conci

Oder wo du wohnst und dich Aufhälst. Oder mit wem du telefonierst. Jedem das seine! Mich würde es ein wenig stören *sarkasmus off*

20.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User pcfreack12

Google, Facebook, NSA, Microsoft wissen sowiso schon alles über unser Leben, mir doch egal wenn noch jemand mir Unbekanntes beim Telefonieren zuhören kann, hab sowiso nichts zu verstecken. ;D

22.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User ismailisab

Erzähl das mal jemanden hier, kriegst gleich Daumen nach unten :) von den Sicherheitsexperten hier.

22.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User williamsun

@ M.conci: Alle Berechtigungen:

...
Standort
Ungefährer Standort (netzwerkbasiert)
Genauer Standort (GPS- und netzwerkbasiert)

Telefon
Telefonstatus und Identität abrufen
Fotos/Medien/Dateien
USB-Speicherinhalte lesen
USB-Speicherinhalte ändern oder löschen

...

Also, keine Wohnadresse und kein Anrufprotokoll!

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User samse999

Ich weiss nicht ob ihr beide nicht lesen könnt, oder einfach eine neue Brille braucht, aber die App macht weit mehr wie nur dein Standort zu checken.
USB-Speicherinhalte lesen
USB-Speicherinhalte ändern oder löschen
Speicher
USB-Speicherinhalte lesen
USB-Speicherinhalte ändern oder löschen
Kamera
Bilder und Videos aufnehmen

Eine App mit diesen Rechten kann so quasi alles was ein User auf seinem Handy macht überwachen.. nicht nur die Bildschirmauflösung..

23.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.


Veuillez vous connecter.

Vous devez être connecté pour écrire un commentaire.

Corporate logo