« Vous ne me connaissez pas, mais il y a de fortes chances que je vous connaisse. C'est parce que j'ai un accès complet et total aux informations privées de millions de comptes Google. Relevés bancaires envoyés par e-mail, dossiers médicaux dans Google Drive, enregistrements de chat Facebook envoyés via Gmail, messages vocaux Google Voice, photos privées dans Google Photos. La liste continue. Aucun des possesseurs de ces comptes n'en a la moindre idée, et aucun d'entre eux ne l'aura jamais. Peut-être que vous en faites partie. »Dans un billet de blog, le développeur qui répond au pseudonyme Ethan Elshyeb tente d'expliquer les dangers qu'il y a à s'inscrire avec le bouton Se connecter avec Google. Ses découvertes ont commencé avec la création de son application de lecteur de musique Carbon Player, aujourd'hui disparue (et jamais largement diffusée). Elle a été conçue pour remplacer l'application Google Play Music avec un design bien meilleur, selon Ethan. En fait, bien que loin d'être des millions, il a malheureusement collecté quelques token maîtres d'utilisateurs inconnus, bien sûr entièrement par accident.
Suite à ses découvertes, il a écrit une histoire pour indiquer le danger auquel pourraient s'exposer des internautes face à une application largement diffusée. Dans son récit, il se met dans la peau d'un développeur qui a conçu une application pour les amateurs de fitness, avec des fonctionnalités telles que l'enregistrement de votre rythme pendant une course et une possibilité d'avoir des exercices de renforcement musculaire. Comme de nombreuses applications, l'utilisateur doit créer un compte avant de pouvoir l'utiliser. Ethan rappelle que, selon les analyses, environ 60% des utilisateurs optent plutôt pour le bouton attrayant Se connecter avec Google pour ne pas avoir à procéder au remplissage des informations demandées.
Cela semble bien familier n'est-ce pas ? Lorsqu'un utilisateur clique sur ce bouton dans l'application, il ouvre la page de connexion Google dans une fenêtre de navigateur intégrée à l'application.
L'authentification à deux facteurs de cet utilisateur est activée sur son compte. Par conséquent, après avoir saisi son adresse e-mail et son mot de passe, une boîte de dialogue s'affiche et demande si c'est vraiment lui qui essaye de se connecter. Étant donné que la boîte de dialogue affiche le bon dispositif et le bon emplacement, le propriétaire clique sur Oui.
… et c'est tout. L'utilisateur peut maintenant continuer à utiliser l'application normalement. Le problème ? Ethan Elshyeb indique qu'à cet instant, il a un accès complet et sans entrave au compte du propriétaire depuis son serveur distant. « Et ils ne recevront jamais d'e-mail à ce sujet, et si vous étiez suffisamment dédié pour examiner le trafic réseau, vous verrez que les seules demandes réseau que l'appareil a effectuées tout le temps concernaient des sous-domaines de google.com. »
Mais comment est-ce possible ?
Les explications
Pour mieux comprendre la situation, Ethan Elshyeb propose de revenir au bouton Se connecter avec Google. Avant de s'étaler en explication, il indique un point important : « pour ceux qui ne le savaient pas, lorsqu'un individu clique sur ce bouton, l'application peut faire ce qu'elle veut. Elle peut vous inviter à vous connecter avec Google, à jouer un son de trompette ou à vous montrer un GIF de chat ».
Dans le cas d'Ethan Elshyeb, lorsqu'un individu clique sur ce bouton, son application ouvre une boîte de dialogue avec une WebView et définit l'URL sur https://accounts.google.com/EmbeddedSetup. Il s'agit d'une véritable page de connexion Google, mais c'est une page spécialement conçue pour la configuration d'un nouvel appareil Android. Ethan Elshyeb précise que cette information sera importante plus tard, lorsque la page donnera utilement les informations exactes dont il a besoin sous la forme d'un cookie.
Malheureusement, cette page ne ressemble pas - ni ne se comporte - exactement comme une page de connexion Google standard, du moins par défaut:
« C'est maintenant que les choses amusantes débutent. J'utilise des API standard intégrées à iOS et Android pour injecter un fragment de code JavaScript soigneusement formulé dans la page, ce qui modifie la page pour qu'elle ressemble et se comporte exactement comme la page standard.
« Si vous êtes intelligent, rendu à ce niveau, vous...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
