Kryptowire, une société de sécurité, vient de trouver une porte dérobée (backdoor) sur plus de 700 millions de smartphones Android, qui envoie les données des utilisateurs à la Chine.
Récemment, la société de sécurité Kryptowire a découvert un firmware installé sur certains téléphones Android aux États-Unis qui envoit secrètement des informations comme des SMS, des données de géolocalisation, le code IMEI de l’appareil, et des enregistrements d’appels vers un serveur en Chine via une porte dérobée (backdoor).
Le logiciel permet de localiser les utilisateurs, savoir avec qui ils parlent et le contenu de leurs SMS, envoyant l’information à un serveur en Chine toutes les 72 heures, selon le New York Times. Les modèles populaires du fabricant américain BLU Products, vendus à travers tous les Etats-Unis, sont concernés par ce problème.
Selon Kryptowire, le serveur appartient à une société nommée Shanghai Adups Technology Co. Ltd., qui conçoit et vend un système de mise à jour FOTA (Firmware Over The Air), inclus dans de nombreux appareils tournant sous Android. Son logiciel fonctionne sur plus de 700 millions de téléphones Android, voitures et autres appareils connectés.
Kryptowire a eu écho de la situation après qu’un chercheur ait acheté un téléphone low cost, le BLU R1 HD, pour un voyage à l’étranger. Au cours du processus de configuration du téléphone, le chercheur a remarqué une «activité réseau inhabituelle». Au cours d’une semaine, le terminal a communiqué des messages à un serveur appartenant à Adups et situé à Shanghai.
Sur son site Web, Kryptowire a noté que le logiciel et son comportement ont réussi à contourner la protection anti-virus mobile car il est livré avec le périphérique et n’est pas considéré comme un logiciel malveillant.
Le fabricant américain de téléphones BLU Products a confirmé que 120 000 de ses téléphones ont été touchés, ajoutant qu’il a depuis mis à jour le logiciel de ses téléphones pour combler la porte dérobée.
« C’était évidemment quelque chose dont nous n’étions pas au courant. Nous avons réagi très rapidement pour y remédier », a déclaré Samuel Ohev-Zion, PDG de BLU Products.
Le firmware a permis l’installation à distance d’applications sans que les utilisateurs y consentent. En outre, il pourrait identifier «des utilisateurs spécifiques et des SMS correspondant à des mots clés définis à distance». Le logiciel a également acquis et communiqué des données sur les types d’applications utilisées et est peut contourner le système d’autorisation Android. Kryptowire a souligné que le microprogramme « exécutait des commandes à distance avec des privilèges (système) augmentés, et était capable de reprogrammer à distance les dispositifs. »
Adups a déclaré qu’il a intentionnellement créé la porte dérobée pour permettre à un fabricant chinois de suivre le comportement des utilisateurs, a rapporté le New York Times, et que la version du logiciel n’était pas destinée à être utilisée dans les téléphones américains.
«C’est une entreprise privée qui a fait une erreur», a déclaré Lily Lim, une avocate représentant Adups. Le logiciel aurait été créé à la demande d’un fabricant chinois non spécifié. Selon Adups, la firme chinoise a utilisé les données pour le support client. Lim a ajouté que le logiciel était destiné à aider la société chinoise à identifier les messages et les appels indésirables. « Adups était juste là pour fournir la fonctionnalité que le distributeur de téléphone a demandé », a-t-elle ajouté.
Les autorités américaines ne savent pas encore si la porte dérobée secrète est utilisée pour collecter des données à des fins publicitaires, ou si elle est l’œuvre d’une action gouvernementale à des fins de surveillance. Un porte-parole du département de la Sécurité intérieure américaine, Marsha Catron, a déclaré que l’agence « a été récemment sensibilisée aux préoccupations découvertes par Kryptowire et travaille avec nos partenaires des secteurs public et privé pour identifier les stratégies d’atténuation appropriées. »
