Passer au contenu

Android: une backdoor chinoise dans presque trois millions de smartphones

Un logiciel du firmware permet d’installer n’importe logiciel sur le terminal, et même d’exécuter n’importe quelle commande avec les privilèges administrateur. C’est une faille majeure.

Et rebelote. Après la découverte, il y a quelques jours, d’un dangereux mouchard dans certains smartphones Android du fabricant américain Blu Products, voici que ce même fournisseur est victime d’une autre porte dérobée, également liée à un prestataire chinois. Et il n’est pas le seul: d’autres marques sont concernées comme Infinix, Doogee, Leagoo ou Xolo. Près de trois millions de terminaux seraient vulnérables, estiment les chercheurs en sécurité d’Anubis Networks, qui ont révélé la faille.

Le problème se situe – cette fois encore – au niveau du firmware du téléphone. Développé par la société chinoise Ragentek, il intègre un logiciel qui, dès que le smartphone est activé, tente de contacter des serveurs externes pour télécharger des applications. Un service de mise à jour qui pourrait être pratique, mais dont l’implémentation est totalement bancale. Le serveur peut non seulement envoyer n’importe quel logiciel à installer sur le terminal, il peut également faire exécuter n’importe quelle commande avec les privilèges administrateur. Et comme les échanges ne sont ni chiffrés, ni authentifiés, il suffit de faire une attaque de type « Man-in-the-Middle » pour prendre le contrôle d’un tel smartphone.

Des domaines préconfigurés, mais non attribués

Bizarrement, ce logiciel est pré-configuré pour contacter trois domaines différents : oyag[.]lhzbdvm[.]com, oyag[.]prugskh[.]net et oyag[.]prugskh[.]com. Mais seul le premier appartenait à Ragentek. Les autres n’étaient pas attribués. Du coup, les chercheurs les ont achetés, ce qui leur a permis de réaliser leur travail d’analyse et d’estimer le nombre de téléphones impactés. Les chercheurs soulignent que n’importe quel pirate aurait pu faire pareil et, ainsi, infecter près de trois millions de terminaux sans même avoir à créer d’attaque « Man-in-the-Middle » ! Mais apparemment, aucun pirate n’a vu cette faille béante. Coup de de bol.

Les chercheurs en sécurité ont contacté les différents fournisseurs. A ce jour, seul Blu Products a publié une mise à jour pour ses terminaux. Visiblement, le fournisseur américain est au taquet et commence à être bien rodé au niveau de la diffusion de patchs. Avec deux failles majeures en l’espace d’une semaine, il ferait bien de vérifier ce que font vraiment ses prestataires chinois…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN