Une porte dérobée trouvée sur un firmware Android

En novembre dernier, il a été porté à la connaissance du public qu’une porte dérobée injectée dans un firmware Android, tournant sur approximativement 700 millions de smartphones et développé par le chinois ADUPS Technology, a été utilisé pour recueillir des informations sur les utilisateurs.

« Les gens aiment penser que leur nouveau téléphone est exempt de logiciels malveillants, mais ce n'est pas toujours le cas. Certains fabricants de smartphones choisissent d'utiliser un service FOTA (Firmware Over-The-Air) tiers au lieu de Google, ce qui peut poser de graves risques de sécurité. C'est ce qui s'est passé dans le cas de l’entreprise ADUPS Technology Co. basée à Shangai », commence Joseph Sullivan de Trustlook.

Selon Trustlook, qui a étudié des échantillons de paquets (notamment “com.adups.fota”, “无线升级”), l’application vient pré-installée sur les dispositifs qui s’appuie sur le firmware développé par ADUPS Technology. L’application collecte des informations comme l’adresse MAC, les numéros IMEI (qui permet d'identifier de manière unique chacun des terminaux de téléphonie mobile GSM ou UMTS) et IMSI (un numéro unique qui permet à un réseau mobile GSM, UMTS ou LTE d'identifier un usager. Ce numéro est stocké dans la carte SIM (USIM en UMTS et LTE) et n'est pas connu de l'utilisateur), ainsi que les numéros de version et les opérateurs.

« Cette application tente également de collecter les messages de type SMS de l’utilisateur ainsi que son journal d’appel. Le plus troublant dans tout cela c’est que toutes ces procédures sont faites sans le consentement de l’utilisateur et en arrière-plan ».

Kryptowire, l'entreprise de sécurité qui a découvert la vulnérabilité, a déclaré que le logiciel d’ADUPS transmettait tout le contenu des messages texte, des listes de contacts, des journaux d'appels, des informations de localisation et d'autres données à un serveur chinois. Le code est préinstallé sur les téléphones et la surveillance n'est pas divulguée aux utilisateurs, a déclaré Tom Karygiannis, un vice-président de Kryptowire, basé à Fairfax, en Virginie. « Même si vous le vouliez, vous ne le sauriez pas », avait-il déclaré. Les informations sont uploadées à intervalle régulier et la collecte des données des dispositifs infectés a commencé en juillet 2016.

Si les experts en sécurité découvrent fréquemment des vulnérabilités, ce cas semble bien ne pas être un bogue. Le New York Times a affirmé qu’ADUPS a intentionnellement conçu le logiciel pour aider un constructeur de téléphone chinois à surveiller le comportement des utilisateurs, selon un document qu’ADUPS a fourni pour expliquer le problème aux cadres de BLU Products. Cette version du logiciel n'était pas destinée aux téléphones américains, a précisé l’entreprise. « C'est une entreprise privée qui a fait une erreur », a déclaré Lily Lim, un avocat à Palo Alto, en Californie, qui représente ADUPS.

Le logiciel a été écrit à la demande d'un fabricant chinois non identifié qui voulait être capable de stocker des journaux d'appels, des messages texte et d'autres données, selon un document fourni par ADUPS qui a précisé que cette société a utilisé les données pour le soutien à la clientèle.

Maître Lim a indiqué que le logiciel avait pour but d'aider le client chinois à identifier les messages et les appels indésirables. De plus, selon elle, ce sont les constructeurs de téléphones, et non ADUPS, qui doivent tenir les utilisateurs au courant des politiques de confidentialité. « ADUPS était juste là pour fournir la fonctionnalité que le constructeur de téléphone a demandé » a-t-elle rappelé.

Quoiqu’il en soit, certaines entreprises qui utilisaient le firmware d’ADUPS ont décidé de l’abandonner. Parmi elles figurent par exemple BLU Products qui a opté pour Google dans sa quête d’une solution proposant une meilleure sécurité. L’entreprise a reconnu que 120 000 de ses produits vendus aux États-Unis s’appuyaient sur cette solution. Samuel Ohev-Zion, le chef de la direction de la filiale basée en Floride, a déclaré : « aujourd’hui, il n’y a plus de dispositifs BLU qui collecte ces informations ».

Même s’il s’agit pour la plupart de fabricants chinois, certaines de ces sociétés vendent également des appareils Android alimentés par cette porte dérobée sur d'autres grands marchés, y compris les États-Unis et l’Europe. Notons également la présence du Français Archos.

Voici la liste complète des 43 fabricants qui se servent de cette solution publiée par TrustLook : Aaron Electronics, Aeon Mobile, All Win Tech, Amoi Technology, Archos, AUX, Bird, BLU. Cellon, Coship Mobile, DEWAV Communication Group, DEXP Digital Experience, Eastaeon Technology, Electronic Technology Co., Gionee, GOSO, Hisense, Hongyu, Huaqin, Huiye, Inventec Corporation, Konka Group Co, Lenovo, Logicom, Longcheer, Malata Mobile, Mediatek, Helio, Prestigio, Ragentek, RDA Micro, Reallytek, RUIO, Sanmu, Sprocomm, Tinno, Uniscope, VSUN, Water World Technology Co., Wind Communication, WingTech, Yifang Digital, Zhuhai Quanzhi et ZTE.

Source : New York Times, analyse de la porte dérobée par TrustLook , liste des constructeurs s'appuyant sur cette solution par TrustLook