La semaine dernière a été riche en nouvelles sur la sécurité des smartphones Android. De nombreux médias (par exemple,
ArsTechnica ) ont écrit que Google "confirmait" le fait de vendre des smartphones avec une porte dérobée préinstallée "en usine". La raison de ces titres était un
article complètement technique
de l' expert Google Lukasz Siverski avec une analyse de la famille Triada de logiciels malveillants mobiles.
Triada est connu des chercheurs (y compris, bien sûr, de l'équipe Google) depuis 2016. Pour la première fois, une porte dérobée a été décrite par des experts de Kaspersky Lab (
ici et
ici ). Ces deux documents détaillent l'introduction de code malveillant dans le système d'exploitation (dès Android 4.x), la collecte et l'envoi de données utilisateur et la modification de plusieurs navigateurs pour afficher des bannières publicitaires.
Ce qui est vraiment intéressant dans le message du représentant de l'équipe de sécurité Android, c'est la réponse à la question de savoir comment le code malveillant est entré dans le firmware des téléphones. Les développeurs d'appareils budgétaires chinois ont contacté des entrepreneurs pour développer des fonctionnalités supplémentaires. Grâce à un tel entrepreneur, une porte dérobée a été intégrée au système.
Une étude réalisée en 2016 par Kaspersky Lab décrit la variante Triada, qui pourrait être préinstallée sur les téléphones des fabricants chinois, mais a également été en mesure d'attaquer n'importe quel autre smartphone. Triada a exploité des vulnérabilités dans la version actuelle d'Android 4.x. Une caractéristique unique de la porte dérobée était la possibilité de s'intégrer dans un processus Android clé appelé Zygote.
Cette approche a fourni au cheval de Troie un contrôle presque complet sur l'appareil. Un article de l'équipe de sécurité Android détaille un détail: Triada a utilisé un binaire su modifié pour prendre le contrôle des processus système. Il n'a accordé des privilèges de superutilisateur aux applications que si elles avaient fait une demande avec le mot de passe correct.
En outre, dans un article de Lukasz Siverski, il indique comment la porte dérobée a suivi l'application ouverte par l'utilisateur. S'il s'agissait d'un navigateur, des publicités étaient affichées dessus. Si le magasin Google Play s'est ouvert, Triada en arrière-plan a téléchargé et installé des applications à partir de son propre serveur de commandes.
En 2017, Dr.Web dans son
étude a cité des exemples de smartphones infectés par la porte dérobée de l'usine: Leagoo M5 Plus, Leagoo M8, Nomu S10 et S20. Des appareils bon marché (environ 100 $) ont été vendus en Chine et en Occident, dont certains peuvent encore être trouvés dans les magasins en ligne chinois.
Dans un article récent, Google révèle un schéma de mise en œuvre de la version «usine» de Triada (voir image ci-dessus). Apparemment, les fournisseurs de smartphones se sont tournés vers des sociétés tierces pour inclure des fonctionnalités supplémentaires dans le firmware de l'appareil qui n'étaient pas disponibles dans le projet Android Open Source. Pour cela, une image du système a été envoyée à l'entrepreneur (mentionné par Yehuo et Blazefire). Il est revenu avec un appendice - à la fois légitime (déverrouillage face au propriétaire) et malveillant. Google a signalé qu'en collaboration avec les développeurs d'appareils, ils avaient supprimé les traces de porte dérobée du micrologiciel.
Mais, apparemment, seulement cette porte dérobée. Le 7 juin, des représentants de l'Administration de la sécurité de l'information (BSI) d'Allemagne ont rapporté (
nouvelles ) la découverte de la porte dérobée Xgen2-CY dans quatre smartphones économiques. Les modèles Doogee BL7000, M-Horse Pure 1, Keecoo P11 et VKworld Mix Plus collectent les informations utilisateur et les envoient au serveur de commandes, ils sont capables d'installer des applications et d'ouvrir des pages dans un navigateur à l'insu de l'utilisateur. Seulement pour le modèle Keecoo P11 (5,7 pouces, 4 cœurs, 2 gigaoctets de mémoire, 110 $ sur GearBest) une version mise à jour du firmware sans porte dérobée est disponible. Selon BSI, jusqu'à 20 000 appareils accèdent aux serveurs C&C des attaquants à partir de l'IP allemande.
En général, le problème n'est pas complètement résolu, et la recommandation aux consommateurs sera probablement la suivante: réfléchissez-y à deux fois avant d'acheter un smartphone pas cher d'une marque douteuse. En juillet dernier, nous avons cité un article de Motherboard qui
décrivait la réplique d'un centime de l'iPhone X en provenance de Chine. L'appareil a envoyé les informations utilisateur à droite et à gauche. Ces métiers ne tombent généralement pas en dehors de la Chine, mais certains appareils «internationaux» ne sont pas meilleurs. Alors que nous discutons des problèmes de confidentialité et de la pratique de collecte des données des utilisateurs par tous les acteurs du marché, des dizaines de milliers de personnes dans le monde sont victimes de cybercriminels.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.