Sécurité : un nouveau backdoor/rootkit découvert sur 3 millions de smartphones Android

 
Une nouvelle faille de sécurité a été découverte, touchant près de 3 millions d’appareils à travers le monde. Exploitée, elle peut donner à n’importe qui l’accès distant complet au terminal concerné.
cybersecurity-2

AnubisNetworks, une société fille de BitSight spécialisée dans la sécurité réseau, a découvert une nouvelle faille de sécurité en tentant d’inspecter le backdoor chinois mis au jour la semaine dernière par Kryptowire. Bien qu’inoffensif en l’état, ce nouveau backdoor laisse une voie ouverte aux attaques de type « Man in the middle » (l’homme du milieu).

Des connexions vers l’extérieur

En tentant d’analyser le backdoor de Shanghai ADUPS Technology sur un BLU Studio G, AnubisNetworks a découvert d’étranges communications non chiffrées vers l’extérieur. Trois domaines étaient alors concernés, l’un appartenant à Ragentek, responsable des mises à jour logicielles du téléphone, les deux autres n’étaient quant à eux non enregistrés. Ces deux domaines vacants ont depuis été rachetés par AnubisNetworks afin de conduire davantage de tests et éviter qu’un esprit mal intentionné s’en saisisse.

Depuis ces adresses, un pirate aurait pu avoir un accès complet à tous les appareils tentant de s’y connecter en plus de recevoir des informations en clair, dont le numéro IMEI des téléphones ou encore leur version actuelle.

55 smartphones touchés

En analysant les données entrantes sur les deux adresses ainsi achetées, AnubisNetworks a pu identifier plus de 2,8 millions d’appareils différents répartis au travers de 55 modèles différents. Il s’agit essentiellement de smartphones de marques chinoises, dont la plupart ont été vendus aux États-Unis.

distribution-of-observed-devices-by-manufacturer

Tous les droits (root)

Le serveur ainsi installé nativement sur ces terminaux n’est pas détecté par les antivirus et dispose de droits root lui permettant d’affecter le système profondément. AnubisNetworks a ainsi remarqué qu’il était possible d’effectuer — depuis l’un des domaines rachetés — les commandes suivantes :

  • push_commandes
  • push_apk
  • push_link
  • push_text
  • push_client
  • push_config

Ainsi, il est possible par exemple d’installer une application à distance, comme des keyloggers ou différents malwares, ou d’utiliser des commandes pour récupérer des fichiers sensibles ou encore supprimer des fichiers système pour rendre l’appareil inutilisable. AnubisNetworks a ainsi réussi à créer un fichier system_rw_test à distance dans le dossier /data/system/, normalement inaccessible à un utilisateur n’ayant pas les droits d’administrateur.

directory

Une simple erreur

Selon AnubisNetworks, cette faille de sécurité n’était pas intentionnelle et devait initialement servir à mettre à jour les terminaux en OTA. Les deux domaines sensibles ayant été rachetés par la firme de sécurité, une partie du problème est donc réglé.

Malheureusement, les informations étant transmises en clair (non chiffrées), une attaque de type Man in the Middle est toujours possible. Stephen Boyer, CTO de BritSight a d’ailleurs indiqué à AnubisNetworks que « c’est le système complet qui est atteint au niveau root, [un MitM] peut tout faire ». Il ajoute que « ce qui nous effraie, c’est que beaucoup d’utilisateurs ne seront jamais conscients de cette vulnérabilité et ne recevront jamais de mise à jour ».

En attendant une mise à jour de la part de BLU — et des autres constructeurs –, les utilisateurs concernés par ce problème devraient se méfier des réseaux publics.


Les derniers articles