Une ancienne version de l’application Android de Shein souffrait d’un bogue qui capturait et transmettait périodiquement le contenu du presse-papiers à un serveur distant.
L’équipe de recherche Microsoft 365 Defender a déclaré avoir découvert le problème dans la version 7.9.2 de l’application publiée le 16 décembre 2021. Le problème a depuis été résolu en mai 2022.
Shein, initialement nommé ZZKKO, est un détaillant chinois de mode rapide en ligne basé à Singapour. L’application, qui est actuellement à la version 9.0.0, compte plus de 100 millions de téléchargements sur le Google Play Store.
Le géant de la technologie a déclaré qu’il n’était pas « spécifiquement conscient de toute intention malveillante derrière le comportement », mais a noté que la fonction n’est pas nécessaire pour effectuer des tâches sur l’application.
Il a en outre souligné que le lancement de l’application après avoir copié tout contenu dans le presse-papiers de l’appareil déclenchait automatiquement une requête HTTP POST contenant les données vers le serveur « api-service[.]shein[.]com ».
Pour atténuer ces risques de confidentialité, Google a encore apporté des améliorations à Android ces dernières années, notamment en affichant des messages toast lorsqu’une application accède au presse-papiers et en empêchant les applications d’obtenir les données à moins qu’elles ne s’exécutent activement au premier plan.
« Étant donné que les utilisateurs mobiles utilisent souvent le presse-papiers pour copier et coller des informations sensibles, comme les mots de passe ou les informations de paiement, le contenu du presse-papiers peut être une cible attrayante pour les cyberattaques », ont déclaré les chercheurs Dimitrios Valsamaras et Michael Peck.
« L’exploitation des presse-papiers peut permettre aux attaquants de collecter des informations sur les cibles et d’exfiltrer des données utiles. »