Bis repetita. Amazon vient de bannir pour la seconde fois en quelques mois des smartphones de la marque américaine Blu de sa plateforme US. « Parce que la sécurité et la confidentialité de nos clients sont de la plus haute importance, tous les modèles de téléphones BLU ont été rendus indisponibles à l’achat sur Amazon.com jusqu’à ce que le problème soit résolu », a déclaré un porte-parole du site de e-commerce. Pourtant, ces appareils Android d’entrée de gamme font partie des best-sellers d’Amazon qui les sélectionnaient auparavant régulièrement dans son offre « Prime Exclusive Phones ».
Les révélations de la Black Hat
Tout est parti d’une conférence de la Black Hat. La société Kryptowire y révèle la semaine dernière qu’elle a surpris la société chinoise Shanghai Adups Technology en train de transférer les données de smartphones d’utilisateurs américains sur des serveurs chinois. Or, ce n’est pas la première fois qu’Adups est pris la main dans le pot de confiture. Au mois d’octobre dernier, Kryptowire avait déjà révélé la présence de logiciels espions sur le R1 HD et le Life One X2 de Blu. Des appareils de ZTE et Huawei étaient également concernés. Amazon avait alors déjà suspendu la commercialisation les modèles de la marque californienne.
Tout semblait être depuis rentré dans l’ordre. Adups avait présenté ses excuses, ces softs n’étant pas censés fonctionner aux Etats-Unis. Une « erreur » vite réparée par une mise à jour. Sauf que Kryptowire vient de prouver que les logiciels espions sont toujours actifs. Pire, ils auraient fait place à des versions plus sophistiquées. Difficile de prétexter encore une « erreur » dans ces conditions comme le relève The Verge. L’un deux a été notamment débusqué sur le modèle Blu Grand M. D’où la décision d’Amazon d’interrompre la vente des appareils de la marque floridienne. Du moins certains d’entre eux, car quelques modèles restent étrangement disponibles à l’achat sur le site US. En France, les smartphones Blu ne semblent, quant à eux, pas frappés d’interdiction. Nous attendons une réaction d’Amazon sur ce sujet.
Quels sont les risques pour les utilisateurs ?
Les dangers restent les mêmes que ceux désignés en fin d’année dernière par Kryptowire. Adups a été en mesure de collecter le nombre de messages textes, les listes de contacts, l’historique des appels, les applications installées, les numéros de téléphone complets, ainsi que les numéros d’identification du matériel et de l’abonné. La société chinoise a pu également cibler à distance des messages sélectionnés à partir de mots clefs mais aussi des personnes en particulier et les localiser. Et évidemment, tout cela s’est fait totalement à l’insu des utilisateurs. Mais personne ne sait ce qu’il est advenu de toute cette data.
Il y a encore pire. Grâce à une technique similaire à l’escalade de privilèges, ces logiciels espions rendent envisageable la prise de contrôle du smartphone à distance et la prise de captures d’écran, le passage d’appels et l’effacement de données. Aucun cas de ce type n’a cependant encore été constaté.
700 millions d’appareils concernés
Si Adups a pu transférer des données sur ses serveurs de Shanghai, c’est parce qu’il existe une faille dans le chipset fabriqué par MediaTek, selon CNET.com. Ce chipset est équipé par défaut du logiciel MTKLogger, une sorte de mouchard qui scanne toute l’activité de votre smartphone. Il est encore actif aujourd’hui sur certains téléphones, faute de mise à jour.
Le problème, c’est que Kryptowire a examiné plus 20 firmwares sur des smartphones Android low cost de moins de 300 dollars et que tous présentaient des vulnérabilités de ce type. De nombreuses autres marques sont donc forcément concernées. Le cofondateur de Kryptowire Ryan Johnson en a fait l’expérience avec le modèle Cubot X16S au mois de mai dernier. Selon lui, 700 millions d’appareils seraient ainsi potentiellement touchés, comprenant aussi bien des smartphones que des objets ou des voitures connectés. En attendant, Adups et MediaTek persistent à répéter que le problème « n’existe plus » depuis sa prétendue résolution l’année dernière.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
