Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une porte dérobée trouvée sur un firmware Android
Qui envoyait les SMS des utilisateurs, l'adresse MAC et les numéros IMEI à un serveur en Chine

Le , par Stéphane le calme

0PARTAGES

7  0 
En novembre dernier, il a été porté à la connaissance du public qu’une porte dérobée injectée dans un firmware Android, tournant sur approximativement 700 millions de smartphones et développé par le chinois ADUPS Technology, a été utilisé pour recueillir des informations sur les utilisateurs.

« Les gens aiment penser que leur nouveau téléphone est exempt de logiciels malveillants, mais ce n'est pas toujours le cas. Certains fabricants de smartphones choisissent d'utiliser un service FOTA (Firmware Over-The-Air) tiers au lieu de Google, ce qui peut poser de graves risques de sécurité. C'est ce qui s'est passé dans le cas de l’entreprise ADUPS Technology Co. basée à Shangai », commence Joseph Sullivan de Trustlook.

Selon Trustlook, qui a étudié des échantillons de paquets (notamment “com.adups.fota”, “无线升级”), l’application vient pré-installée sur les dispositifs qui s’appuie sur le firmware développé par ADUPS Technology. L’application collecte des informations comme l’adresse MAC, les numéros IMEI (qui permet d'identifier de manière unique chacun des terminaux de téléphonie mobile GSM ou UMTS) et IMSI (un numéro unique qui permet à un réseau mobile GSM, UMTS ou LTE d'identifier un usager. Ce numéro est stocké dans la carte SIM (USIM en UMTS et LTE) et n'est pas connu de l'utilisateur), ainsi que les numéros de version et les opérateurs.

« Cette application tente également de collecter les messages de type SMS de l’utilisateur ainsi que son journal d’appel. Le plus troublant dans tout cela c’est que toutes ces procédures sont faites sans le consentement de l’utilisateur et en arrière-plan ».

Kryptowire, l'entreprise de sécurité qui a découvert la vulnérabilité, a déclaré que le logiciel d’ADUPS transmettait tout le contenu des messages texte, des listes de contacts, des journaux d'appels, des informations de localisation et d'autres données à un serveur chinois. Le code est préinstallé sur les téléphones et la surveillance n'est pas divulguée aux utilisateurs, a déclaré Tom Karygiannis, un vice-président de Kryptowire, basé à Fairfax, en Virginie. « Même si vous le vouliez, vous ne le sauriez pas », avait-il déclaré. Les informations sont uploadées à intervalle régulier et la collecte des données des dispositifs infectés a commencé en juillet 2016.

Si les experts en sécurité découvrent fréquemment des vulnérabilités, ce cas semble bien ne pas être un bogue. Le New York Times a affirmé qu’ADUPS a intentionnellement conçu le logiciel pour aider un constructeur de téléphone chinois à surveiller le comportement des utilisateurs, selon un document qu’ADUPS a fourni pour expliquer le problème aux cadres de BLU Products. Cette version du logiciel n'était pas destinée aux téléphones américains, a précisé l’entreprise. « C'est une entreprise privée qui a fait une erreur », a déclaré Lily Lim, un avocat à Palo Alto, en Californie, qui représente ADUPS.

Le logiciel a été écrit à la demande d'un fabricant chinois non identifié qui voulait être capable de stocker des journaux d'appels, des messages texte et d'autres données, selon un document fourni par ADUPS qui a précisé que cette société a utilisé les données pour le soutien à la clientèle.

Maître Lim a indiqué que le logiciel avait pour but d'aider le client chinois à identifier les messages et les appels indésirables. De plus, selon elle, ce sont les constructeurs de téléphones, et non ADUPS, qui doivent tenir les utilisateurs au courant des politiques de confidentialité. « ADUPS était juste là pour fournir la fonctionnalité que le constructeur de téléphone a demandé » a-t-elle rappelé.

Quoiqu’il en soit, certaines entreprises qui utilisaient le firmware d’ADUPS ont décidé de l’abandonner. Parmi elles figurent par exemple BLU Products qui a opté pour Google dans sa quête d’une solution proposant une meilleure sécurité. L’entreprise a reconnu que 120 000 de ses produits vendus aux États-Unis s’appuyaient sur cette solution. Samuel Ohev-Zion, le chef de la direction de la filiale basée en Floride, a déclaré : « aujourd’hui, il n’y a plus de dispositifs BLU qui collecte ces informations ».

Même s’il s’agit pour la plupart de fabricants chinois, certaines de ces sociétés vendent également des appareils Android alimentés par cette porte dérobée sur d'autres grands marchés, y compris les États-Unis et l’Europe. Notons également la présence du Français Archos.

Voici la liste complète des 43 fabricants qui se servent de cette solution publiée par TrustLook : Aaron Electronics, Aeon Mobile, All Win Tech, Amoi Technology, Archos, AUX, Bird, BLU. Cellon, Coship Mobile, DEWAV Communication Group, DEXP Digital Experience, Eastaeon Technology, Electronic Technology Co., Gionee, GOSO, Hisense, Hongyu, Huaqin, Huiye, Inventec Corporation, Konka Group Co, Lenovo, Logicom, Longcheer, Malata Mobile, Mediatek, Helio, Prestigio, Ragentek, RDA Micro, Reallytek, RUIO, Sanmu, Sprocomm, Tinno, Uniscope, VSUN, Water World Technology Co., Wind Communication, WingTech, Yifang Digital, Zhuhai Quanzhi et ZTE.

Source : New York Times, analyse de la porte dérobée par TrustLook , liste des constructeurs s'appuyant sur cette solution par TrustLook

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 20/12/2016 à 5:17
La justification est assez hallucinante : "c'était censé être réservé au marché chinois".
Yep, ça rend ça acceptable...
2  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 19/12/2016 à 15:04
Vilain fabricant chinois ! Vilain !
Heureusement que j'utilise un iPhone et un Android google, au moins je suis sûr qu'il n'y a pas de portes dérobés volontairement installés dessus par les constructeurs... Il faudrait être complètement paranoïaque ou anti-américain (voire carrément être Russe ou Chinois !) pour oser croire qu'ils sont capables de faire cela ! Pas vrai ?
1  0 
Avatar de jpiotrowski
Membre averti https://www.developpez.com
Le 22/12/2016 à 20:39
Si les données sont envoyées en Chine, il y a des frais de roaming, non ? Et pas moyen de s'en apercevoir alors ? Sinon, comment sont envoyées les données pour que l'utilisateur ne se doute de rien ???
1  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 19/12/2016 à 15:24
Les américains ont fait 222 guerres en 2 siècles (depuis leur existence).
Donc, ils aiment les autres.

Rem: des va t'en guerre oeuvrant au nom de la paix et de la liberté, après ils viennent faire la morale aux autres.
1  1 
Avatar de Laurent Simon
Membre du Club https://www.developpez.com
Le 22/12/2016 à 13:19
Tinno qui est cité dans la liste est la maison mère de Wiko. Wiko se contente de revendre les produits Tinno en France en appliquant la marque Wiko dessus.
0  0