L’application Android de Shein est capturée en train de transmettre des données de presse-papiers à des serveurs distants

07 mars 2023Ravie LakshmananConfidentialité / Violation des données

Une ancienne version de Shein Application Androïd souffrait d’un bogue qui capturait et transmettait périodiquement le contenu du presse-papiers à un serveur distant.

L’équipe de recherche Microsoft 365 Defender l’a dit découvert le problème dans version 7.9.2 de l’application qui a été publiée le 16 décembre 2021. Le problème a depuis été résolu en mai 2022.

Shein, initialement nommé ZZKKO, est un détaillant chinois de mode rapide en ligne basé à Singapour. L’application, qui est actuellement à la version 9.0.0, compte plus de 100 millions de téléchargements.

Le géant de la technologie a dit il n’est pas « spécifiquement conscient de toute intention malveillante derrière le comportement », mais a noté que la fonction n’est pas nécessaire pour effectuer des tâches sur l’application.

Il a en outre souligné que le lancement de l’application après avoir copié tout contenu dans le presse-papiers de l’appareil déclenchait automatiquement une requête HTTP POST contenant les données vers le serveur « api-service[.]briller[.]com. »

Pour atténuer ces risques de confidentialité, Google a encore apporté des améliorations à Android ces dernières années, notamment afficher les toasts lorsqu’une application accède au presse-papiers et interdire des applications d’obtenir les données à moins qu’elles ne s’exécutent activement au premier plan.

« Étant donné que les utilisateurs mobiles utilisent souvent le presse-papiers pour copier et coller des informations sensibles, comme les mots de passe ou les informations de paiement, le contenu du presse-papiers peut être une cible attrayante pour les cyberattaques », ont déclaré les chercheurs Dimitrios Valsamaras et Michael Peck.

« L’exploitation des presse-papiers peut permettre aux attaquants de collecter des informations sur les cibles et d’exfiltrer des données utiles. »