Ayaneo, célèbre constructeur de consoles rétro, est au cœur d’une carabistouille pas nette. Une de ses applications enverrait à un serveur suspect des centaines de captures d’écran réalisées sans prévenir l’utilisateur. L’entreprise se défend d’espionner ses clients, en invoquant un simple bug… et même si les circonstances peuvent inquiéter, il semble que ce soit l’hypothèse la plus probable.
Alerte rouge chez les utilisateurs de la Pocket DS, une console rétro d’Ayaneo équipée de deux écrans, à la manière de la Nintendo DS. Sur la page GitHub du développeur MrSujano, un d’entre eux s’inquiète de voir que l’application intégrée AYAWindow de sa console réalise des captures d’écran très régulièrement, « à chaque fois que je fais quelque chose sur l’appareil », explique Ghostmanslow. Plus de 1 200 captures (!) sont ainsi stockées là et pire encore : depuis le 17 novembre, l’application a transmis 12,5 Go de données à un serveur externe.
Inquiétantes captures d’écran
Évidemment, il y a là de quoi s’interroger a minima sur les raisons qui poussent Ayaneo à transmettre ces captures d’écran, sans le consentement éclairé de l’utilisateur. C’est le cas pour la Pocket DS de Ghostmanslow, mais aussi pour tous ceux qui possèdent l’appareil. Le site RetroHandhelds a mené sa petite enquête : du trafic réseau a été observé vers l’adresse « android.bugly.qq.com », un nom de domaine appartenant à Tencent et plus spécifiquement au service Bugly. Ce dernier est utilisé pour les rapports de crash, les données d’analyse technique et les logs. C’est l’équivalent chinois de Firebase Crashlytics.
Envoyer des données vers Bugly n’est donc pas suspect en soi. Et sur Android, les systèmes qui affichent un gestionnaire de tâches ou un aperçu des apps doivent générer des miniatures des applications ouvertes. Ces vignettes sont en réalité des captures d’écran des apps prises automatiquement. Elles sont habituellement très petites, stockées en cache et effacées régulièrement.
Le hic ici, c’est que les captures enregistrées par la Pocket DS ne sont pas supprimées, elles s’accumulent. Et c’est un bug, a reconnu Ayaneo : ces images sont générées par le gestionnaire de tâches de la console, qui doit produire des miniatures des applications pour l’interface à deux écrans. Le mécanisme est donc « normal », mais un problème empêche actuellement le nettoyage du cache, ce qui explique l’accumulation de captures.
Le constructeur assure par ailleurs que ces images sont stockées dans l’espace sécurisé de l’application et ne présentent « aucun risque de sécurité ». Ayaneo affirme aussi ne pas les envoyer vers ses serveurs. Quant aux 12,5 Go de données relevés par l’utilisateur, l’entreprise explique qu’il s’agit d’une confusion liée au fonctionnement d’Android : l’application AYAWindow utilise un identifiant système partagé par plusieurs services du système. Le trafic réseau affiché correspondrait donc à l’ensemble des applications utilisant ce même identifiant, et non à AYAWindow seul. Un correctif est en préparation pour régler le problème de cache.
A priori donc, plus de peur que de mal. L’hypothèse d’un bug isolé est d’autant plus crédible que seule la Pocket DS est concernée, pas les autres appareils du fabricant. Mais en ces temps de méfiance généralisée (à raison), le manque de transparence passe mal.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
RetroHandhelds