Google a retiré l’application Android Flash Keyboard du PlayStore. Faisant partie du Top 20 des logiciels les plus populaires, elle est la cible d’un rapport alarmant de Pentest, une entreprise spécialisée dans la cybersécurité.
Flash Keyboard, PenTest tire la sonnette d’alarme
Les ingénieurs de PenTest expliquent que l’application Flash Keyboard est à l’origine de demandes d’autorisation sans rapport à ce qui est nécessaire pour son bon fonctionnement. Avec des privilèges d’administrateur, le logiciel rend son désinstallation plus difficile, détourne l’écran pour afficher des publicités et recueille des données pour les transférer à un tiers sans autorisation.
Flash Keyboard est classé 11ème dans la liste des applications Android les plus populaires. Elle est à l’origine de plus 50 millions de téléchargement. En apparence, elle a la vocation de remplacer le clavier natif de l’OS
Pentest met en avant de nombreuses dérives 
citons
- Accès aux connexions sans fil Bluetooth, Wifi et à la fonction géolocalisation
- Autorisation de tuer les processus d’arrière-plan,
- Autorisation de lecture des messages SMS, de supprimer les notifications de téléchargement.
Selon Pentest, tout ceci n’a aucune justification.
A cela, s’ajoute une demande d’autorisation de droits d’administrateur afin d”accéder à l’écran de verrouillage pour imposer des annonces publicitaires et de collecter des données sans accord explicite de l’utilisateur.
L’analyse des flux de données issus de Flash Keyboard montre une collecte de données et leurs envois sur des serveurs distants. Ils sont situés aux États-Unis, aux Pays-Bas, et en Chine. Certaines de ces données concernent
- le fabricant de l’appareil,
- l’identification du modèle,
- la version Android,
- l’adresse e-mail,
- les données SSID, MAC, IMEI,
- le type de réseau mobile,
- les coordonnées GPS ou encore des informations sur les appareils Bluetooth à proximité.
Flash Keyboar, Malware ?
Pentest estime que l’application ne respecte pas la politique de Google pour de nombreuses raisons dont la mise en place sans autorisation de publicité, des mises à jour de l’application cachées intentionnellement, des envois d’informations personnelles à l’insu de l’utilisateur et une procédure de désinstallation difficile.
La publication de ce rapport a obligé Google à supprimer Flash Keyboard du Play Store. Son développeur a rapidement publié une seconde version nommée Flash Keyboard Lite.
