iRecorder Screen Recorder a passé un an sans histoires sur le Play Store avant de se doter d'une fonctionnalité d'écoute qui n'aurait jamais été acceptée si elle avait été présente dès le début.
Cette app, qui permet de faire une capture d'écran vidéo sur smartphone, aura donc attendu une année entière pour se mettre à écouter de manière intensive ses utilisateurs. Si le but de la manœuvre n'est pas vraiment clair, elle démontre une faille dans le système de contrôle des applications par les grands stores.
Que reproche-t-on à iRecorder ?
En 2021, les services de contrôle du store d'Android ont vu passer l'application iRecorder Screen Recorder sur leur bureau. Cette application innocente était semblable à beaucoup d'autres, puisqu'elle permettait simplement d'enregistrer son écran de smartphone. Avec environ 50 000 téléchargements un an plus tard, on ne peut pas parler de flop, mais ce n'était pas non plus la success story de l'année.
Elle a tout de même réussi à attirer l'œil de Lukas Stefanko, chercheur pour une société de cybersécurité. Ce dernier a ainsi remarqué que si la version initiale de iRecorder était parfaitement normale, elle a été mise à jour 11 mois après avoir été acceptée sur le Play Store. Cet update y a ajouté des fonctionnalités autrement moins innocentes, à commencer par la possibilité pour ses développeurs d'enregistrer le son capté par les micros du téléphone ou de récupérer certains fichiers présents dessus. C'est ainsi que les utilisateurs de iRecorder qui ont eu la mauvaise idée de faire cette mise à jour se sont retrouvés écoutés, l'application enregistrant une minute tous les quarts d'heure. L'objectif ou même les auteurs de la manipulation sont inconnus, mais le Play Store l'a rapidement supprimée quand l'entreprise de Stefanko l'en a informé.
Ce dernier point est inquiétant pour le chercheur, qui n'exclut pas que cela fasse partie d'une opération d'espionnage, sans pouvoir le confirmer ni même savoir d'où elle serait partie.
Est-il si facile de contourner les règles du Play Store ?
Non. Autant le dire tout de suite, les équipes de Google (ou d'Apple) chargées de valider les applications imposent de nombreuses règles et passent en revue les applications avant qu'elles n'arrivent effectivement sur le store. Une application qui espionnerait dès son origine de manière aussi délibérée ceux qui la téléchargent n'aurait donc aucune chance d'être validée. Mais la pratique de glisser des fonctionnalités malignes longtemps après avoir montré patte blanche est, semble-t-il, assez peu répandue (moins connue en tout cas). Il semble donc que les mises à jour ne soient pas sujettes au même traitement en matière de vérification.
Le problème est qu'à part la notice à destination des développeurs qui souhaitent publier une app sur le Play Store, Google ne communique presque jamais sur les différents malwares qu'elle découvre en amont ou après avoir autorisé une application. L'entreprise n'est pas non plus très enthousiaste quand il s'agit de prévenir ses utilisateurs qu'ils ont potentiellement été touchés par des acteurs malveillants. À peine le géant annonce-t-il de temps à autre travailler à renforcer la sécurité du store.
Sources : The Verge, Ars Technica
