Il y en a un peu plus, je vous l’mets quand même ? Après avoir épinglé Wiko sur les étranges transferts de données vers la Chine, le hacker, dont le pseudo, Elliot Alderson, est une référence claire à la série Mr Robot, vient d’inspecter en détail le modèle d’entrée de gamme « Freddy » du fabricant. Après avoir décompilé le code de l’appareil, le chercheur a trouvé plusieurs failles de sécurité permettant de contourner le code de verrouillage. En effet, le téléphone dispose d’outils de développement que le constructeur a visiblement oublié de supprimer avant la mise en commercialisation et qui donne un accès privilégié aux données de l’appareil.
<Thread> Hi @WikoMobile 👋! Let's talk about the Wiko Freddy phone.
This phone was released October 2016 and is now selling for 99.99€.
Because of the @WikoMobile and Tinno negligence, I'll show you how your data can be stolen even if your phone is protected by a lock screen. 1/ pic.twitter.com/No2E0DJ2wu— Baptiste Robert (@fs0c131y) November 28, 2017
Tout d’abord, il faut redémarrer le téléphone en mode « bootloader », un outil de diagnostic qui existe sur tous les smartphones Android. Généralement, ce mode est accessible en appuyant simultanément sur les touches « volume bas » et « power ». Il suffit ensuite de relier le téléphone en USB à un PC et d’envoyer la commande suivante : « fastboot oem unlock-tinno ». Cela aura pour effet de « déverrouiller le bootloader ».
En effet, le mode bootloader est toujours verrouillé par défaut pour éviter que les utilisateurs installent un autre système d’exploitation. Certains constructeurs permettent de le déverrouiller pour faire plaisir aux bidouilleurs, mais dans ce cas les paramètres du téléphone sont réinitialisés et les données de l’utilisateur effacées, par soucis de sécurité (« factory reset »).
Avec la commande trouvée par Elliot Alderson, en revanche, les données utilisateurs ne sont pas effacées. En utilisant des commandes de débogage, l’attaquant peut donc accéder à toutes les données personnelles stockées sur le téléphone. « C’est une commande propre à Tinno, le constructeur. Elle est utilisée lors du développement pour éviter le factory reset lorsqu’on déverrouille le bootloader », nous explique le hacker.
Un autre chemin est possible
Le chercheur a également trouvé deux autres failles fort pratiques. La première est assez étonnante. Quand le téléphone est en charge, le débogage USB est automatiquement activé. En temps normal, il faut aller pour cela dans le menu « Paramètres -> A propos du téléphone » et tapoter sept fois sur le numéro de build, puis activer l’option correspondante dans le menu « Options développeurs ». Mais dans le cas présent, il suffit qu’un attaquant éteigne le Wiko Freddy, le connecte par USB à un PC et attende que le symbole de charge s’affiche. Il peut alors envoyer des commandes de débogage qui lui permettent par exemple d’avoir des infos techniques sur le téléphone ou d’accéder au système de fichiers. En revanche, il n’aura pas accès aux données personnelles stockées sur le téléphone.
Toutefois, l’attaquant peut alors utiliser une autre faille trouvée par le hacker. En mode débogage, il peut exécuter la commande « setprop persist.tinno.debug 1 » qui donne un accès root au téléphone. « Les données personnelles ne sont pas accessibles car le lecteur /data n’est pas monté en mode adb charging. Mais grâce à l’accès root, il devrait être possible de rooter le terminal et d’y avoir accès après redémarrage. Cela reste à confirmer », nous précise le chercheur pour qui la conclusion est simple : avoir un code PIN sur un Wiko Freddy ne sert à pas grand-chose. Pour lui, acheter un tel smartphone, c’est comme « acheter une maison sans portes ».
So, next time you are buying a cheap phone like this one don't be fooled. You are putting intentionally all your data (SMS, photos, videos,…) in a device with 0 security.
It's like buying a new house without a door… 10/10— Baptiste Robert (@fs0c131y) November 28, 2017
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
