Discussion :

[Michael Guilloux]

USA : des téléphones Android dotés d’une porte dérobée qui envoie des données en Chine
d’autres pays et de grands opérateurs seraient concernés

Les chercheurs de la firme de sécurité Kryptowire ont découvert une portée dérobée dans des téléphones Android vendus aux États-Unis. La faille secrète a été découverte dans les téléphones de BLU Products, une société basée en Floride. BLU Products vend des smartphones Android aux États-Unis, et environ 120 000 de ses appareils seraient dotés de cette porte dérobée, qui permet de transmettre des données à un serveur chinois.

Les appareils affectés « transmettent activement les informations de l’utilisateur et du périphérique, y compris le corps entier des messages texte, les listes de contacts, l’historique des appels avec numéros de téléphone complets, les identifiants d'appareils uniques, y compris l'IMSI (International Mobile Subscriber Identity) et l'IMEI (International Mobile Equipment Identity) », a déclaré la firme de sécurité.

D’après Kryptowire, toutes les capacités de collecte et de transmission de données que les chercheurs ont pu identifier ont été prises en charge par deux applications système (com.adups.fota.sysoper et com.adups.fota) qui ne peuvent pas être désactivées par l'utilisateur final. La transmission de données se produit toutes les 72 heures pour les messages textes et informations du journal des appels et toutes les 24 heures pour les autres informations personnellement identifiables.

La porte dérobée se présente sous forme de logiciel préinstallé développé par une société chinoise appelée Shanghai Adups Technology. À propos de cette entreprise, Kryptowire note qu’en septembre 2016, « Adups revendiquait sur son site Web une présence mondiale avec plus de 700 millions d'utilisateurs actifs et une part de marché supérieure à 70 % dans plus de 150 pays et régions avec des bureaux à Shanghai, Shenzhen, Pékin, Tokyo, New Delhi, et Miami. Le site Web d’Adups a également déclaré qu'il produit un firmware qui est intégré par plus de 400 opérateurs mobiles majeurs, fournisseurs de semi-conducteurs et fabricants de périphériques allant de wearables et mobiles aux voitures et téléviseurs. » Ce qui indique que le problème pourrait ne pas être limité aux 120 000 smartphones Android de BLU Products aux États-Unis, mais à d’autres constructeurs et bien d’autres pays. D’ailleurs, la société Adups compte parmi ses clients des fabricants de téléphones beaucoup plus importants comme ZTE et Huawei.

Parce que la porte dérobée est implémentée au niveau du firmware, elle a pu éviter d’être détectée par les logiciels antivirus, s’il faut en plus noter plusieurs niveaux de cryptage qui ont été utilisés pour masquer les données transmises : « Les informations collectées ont été chiffrées avec plusieurs couches de chiffrement et ensuite transmises via des protocoles Web sécurisés à un serveur situé à Shanghai », explique la firme de sécurité. « Ce logiciel et ce comportement contournent la détection par des outils antivirus mobiles, car ils supposent que le logiciel fourni avec le périphérique n'est pas un logiciel malveillant, il est donc mis sur liste blanche. »

Samuel Ohev-Zion, le directeur général de BLU Poducts, a fait savoir qu’il n’était pas au courant de cette porte dérobée dans ses smartphones. Après en avoir été informé, le logiciel de surveillance a donc été retiré de ses produits.

De son côté, la société rejette toute responsabilité directe. Dans le contexte de sécurité actuel, Adups a tenu d’abord à préciser qu’elle n’est en aucun cas affiliée au gouvernement chinois. « C'est une entreprise privée qui a fait une erreur », a déclaré Lily Lim, avocate en Californie, qui représente Adups. La société chinoise poursuit ensuite pour dire qu’elle n’a fait qu’exécuter la demande d’un client et que c’est le rôle de ce dernier d’informer ses utilisateurs des données collectées. D’après des documents d’Adups, le logiciel a été développé à la demande d'un fabricant chinois non identifié qui voulait la capacité de stocker des journaux d'appels, des messages textes et d'autres données, dans le cadre du support à la clientèle. « Adups était juste là pour fournir la fonctionnalité que le fabricant de téléphones a demandée », a dit l’avocate.

Travaillant également pour le département américain de la Sécurité Intérieure, la firme de sécurité a présenté sa découverte au gouvernement américain, qui dit travailler pour « identifier les stratégies d'atténuation appropriées. »

Sources : Kryptowire, New York Times

Et vous ?

Qu’en pensez-vous ?

[youtpout978]

Soit c'est les USA qui nous espionnent, soit la Chine ou même les deux, je ne sais pas si l'un est pire que l'autre mais aucune surveillance serait mieux, surtout que ça désengorgerai le réseau, les FAI seraient content.

[Traroth2]

Une erreur ? Quelqu'un a trébuché et a développé une porte dérobée en tombant ?

[OButterlin]

Une erreur ? Quelqu'un a trébuché et a développé une porte dérobée en tombant ?

Ben ouaip... tu savais pas que c'était possible ?

Dans le genre "on se fout de la gueule du monde...", on a un collector là

[Aiekick]

une société chinoise qui n'est pas affilié au gouvernement chinois !! Et alors ? La chine est une dictature, Pas une démocratie ! il se foutent vraiment de nous.

[persé]

une société chinoise qui n'est pas affilié au gouvernement chinois !! Et alors ? La chine est une dictature, Pas une démocratie ! il se foutent vraiment de nous.

quand on voit que toutes les entreprises de la silicon valley coopèrent avec la NSA américaine, on ne peut dire que la meme chose pour les usa

[Kiko93]

Si vous croyez que APPLE, MICROSOFT, GOOGLE, FACE BOOK et autres sont des oies blanches c'est que vous méconnaissez la nature humaine.
Non, le mieux serait que pour ce genre de produit divulgue le code source soit accessible et re-compilable. Idem pour les systèmes d'exploitations grand public.

[tes49]

Salut

Non, le mieux serait que pour ce genre de produit divulgue le code source soit accessible et ré-compilable. Idem pour les systèmes d'exploitations grand public.

Mais arrêter de penser qu'à vous et soyez réaliste !!! L'utilisateur lambda n'en fera jamais, il veut un système à utiliser tout de suite et le plus adapter à ses besoins.
Ce n'est pas son hobby\travail de "ré-compiler"... ni dans ses capacités. Et il y aura toujours des méchants pour essayer de profiter de la plupart des utilisateurs... C'est comme cela depuis toujours et le restera.

Non, les systèmes devraient être analysés dans leurs profondeurs pour interdire ses pratiques, foutre des amendes colossales ou interdire\bloquer leurs ventes (réalisable, rêve ou idéal, je vous laisse en juger ! )... Bien sur, on est loin de tout cela, mais cela serait l'idéal...
Ce genre de découverte des chercheurs de la firme de sécurité Kryptowire est une avancée, minime mais avancé tout de même.