Cette semaine, un piratage a remis la cybersécurité sur le devant de la scène, révélant quelque chose d’important. Cependant, l'attaque ne ciblait pas les utilisateurs, mais plutôt une entreprise de « grattage de données » qui récupérait la localisation de milliers d'utilisateurs et la vendait potentiellement au plus offrant. Le plus inquiétant est que l’entreprise obtient les données de localisation des applications pour smartphones sans que les développeurs s’en rendent compte.
Gravy Analytics obtient des données de localisation de millions de smartphones via des applications populaires
Un groupe de pirates informatiques a piraté Gravy Analytics, une entreprise spécialisée dans la collecte de données de localisation. Dans le passé, Gravy a été surpris en train de vendre des informations à des organisations gouvernementales. L'entreprise n'a pas collecté les données en introduisant des chevaux de Troie dans des applications ou en piratant le code. L'entreprise a choisi d'exploiter l'écosystème publicitaire si présent dans les applications pour smartphones. Plus précisément, ils profitent du système d’enchères en temps réel (RTB) qui domine aujourd’hui le segment. Cela signifie également que les développeurs d’applications n’ont pas leur mot à dire dans le processus. Ainsi, la grande majorité n’était même pas consciente de ce qui se passait.
Le RTB est un système dans lequel les entreprises soumissionnent pour que leurs annonces soient visibles dans les applications. Cela signifie également que les courtiers en données peuvent « surveiller » le processus et conserver les données de localisation des utilisateurs de smartphones s’ils le souhaitent. Le rapport de 404 Media et Wired indique que des millions d'utilisateurs aux États-Unis, en Russie et en Europe sont concernés.
Les données de localisation volées datent de 2024, selon des indices
On ne sait pas encore si Gravy est le principal acteur du vol de données utilisateur. Il est également possible qu'ils obtiennent les données d'autres entreprises. Le système RTB permet à des entreprises malveillantes d'obtenir des données de localisation en se faisant passer pour des annonceurs potentiels. Ils peuvent commencer à collecter des données simplement en accédant à des plateformes d’enchères ou en acquérant d’autres sociétés de technologie publicitaire. Gravy a une filiale appelée Venntel. Cette dernière est la société qui traite directement avec les agences gouvernementales américaines pour la vente de données de localisation. Ils vendent également les données à des sociétés commerciales plus traditionnelles.
Certains indices suggèrent que les données découvertes datent de l’année dernière. Call of Duty : Mobile fait partie des applications concernées, et le piratage a montré que Gravy collectait des données utilisateur à partir de la mise à jour « Saison 5 ». Cette mise à jour est arrivée en mai 2024. De plus, les données ne sont pas obtenues à partir du GPS des smartphones, mais via leur adresse IP. Cela a permis aux pratiques de l'entreprise de passer encore plus inaperçues.
Applications affectées par les pratiques de Gravy
Il existe une liste massive d'environ 12 000 applications affectées par la récupération des données de localisation de Gravy. Bien qu’il soit impossible de tous les énumérer, certains se démarquent par leur popularité ou leur niche. La liste comprend Tinder, Grindr, My Period Calendar & Tracker, MyFitnessPal, Tumblr, Yahoo Mail, Microsoft 365, Flightradar24, Moovit, Muslim Pro et Christian Bible, entre autres. Des jeux populaires tels que Candy Crush, Temple Run, Subway Surfers et Harry Potter : Puzzles & Spells ont également été concernés. La liste complète comprend également de nombreuses applications VPN et trackers de grossesse.
La plupart des développeurs d’applications concernés n’ont pas commenté les résultats. Cependant, les développeurs de Flightradar24, Tinder, Grindr et Muslim Pro affirment qu'ils n'ont rien à voir avec Gravy ou qu'ils n'ont même jamais entendu parler de la société. Le problème affecte les applications sur les appareils Android et iOS. Cela dit, ni Google ni Apple n'ont encore publié de déclaration à ce sujet.
