Envoi de données vers la Chine depuis des appareils Android : entretien avec Kryptowire

Envoi de données vers la Chine depuis des appareils Android : entretien avec Kryptowire

Courant d'air !

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

16/11/2016 7 minutes
23

Envoi de données vers la Chine depuis des appareils Android : entretien avec Kryptowire

Les chercheurs de la société Kryptowire ont trouvé dans des smartphones une porte dérobée menant à la transmission de données vers des serveurs chinois. Un problème de sécurité confirmé par plusieurs entreprises. L'un des chercheurs, Azzedine Benameur, nous en a expliqué certains aspects.

Les chercheurs ont trouvé cette backdoor dans un composant fourni par une entreprise chinoise, Shangai AdUps Technology. Selon Kryptowire, ce composant rassemble tous les trois jours une liste d’éléments pour les envoyer vers des serveurs situés en Chine, pour une raison jusqu’à présent inconnue.

De nombreuses données émises régulièrement

Les données sont nombreuses : SMS, journal des appels, identifiants IMSI et IMEI, position géographique ou encore liste des applications installées. Toutes les 24 heures, le composant émet également des informations identifiantes sur l’utilisateur. Les capacités ne se limitent pas à l’envoi de données, puisque le composant est en théorie capable d’installer et supprimer des applications, de mettre à jour le firmware de l’appareil ou encore d’exécuter des commandes avec des droits système (un cran en-dessous des droits root).

En d’autres termes, ce composant a presque tout pouvoir. Et si les capacités sont surprenantes, sa prévalence l’est tout autant. Car selon les propres chiffres donnés par AdUps, on le retrouve sur plus de 700 millions d’appareils Android (mobiles, voitures et autres), un chiffre estimé car il est impossible de savoir avec précision combien sont en circulation.

Le constructeur américain BLU touché par le composant

La découverte a fait l’objet d’un article hier dans le New York Times. On y apprend notamment que le fabricant de smartphones BLU, basé en Floride, a utilisé ce composant dans son HD R1, a priori sans connaître sa portée. 120 000 téléphones étaient donc affectés par le problème, mais le constructeur affirme qu’une mise à jour a rapidement été déployée pour débarrasser les appareils de cette porte dérobée.

Pour convaincre BLU de la dangerosité de ce composants, Kryptowire a fourni des documents dans lesquels on trouvait certaines explications sur le composant. Le plus important était qu’il avait été conçu pour fournir à un constructeur chinois une vision des habitudes de ses clients. Par ailleurs, jamais cette version n’aurait dû a priori se retrouver dans des produits américains. Mais tout semble indiquer qu’il s’agit d’une véritable volonté de récupérer ces données, et non pas d’un bug quelconque.

Des fonctionnalités créées à la demande d'au moins un constructeur chinois

Selon les documents présentés par Kryptowire, le composant fautif aurait été initialement écrit à la demande d’un constructeur chinois, dont le nom n’apparaît pas, mais qui utiliserait ces informations pour du support client. Nos confrères se sont entretenus avec Lily Lim, avocate représentant AdUps en Californie, qui a rétorqué que les entreprises utilisant les produits de son client avaient la responsabilité d’avertir les utilisateurs des politiques de vie privée. AdUps, en tant que simple fournisseur de composants logiciels, n’y est pas tenu.

Samuel Ohev-Zion, président de BLU, a indiqué au New York Times avoir reçu l’assurance par AdUps que toutes les informations transmises avaient été détruites. Cependant, le mode opératoire laisse planer de sérieux doutes, d’autant que le site d’AdUps précise que des composants logiciels sont fournis à deux des plus gros fabricants de smartphones au monde, Huawei et ZTE. Ce qui pourrait expliquer une bonne partie des 700 millions d’appareils.

Les messages peuvent être filtrés par mots-clés avant la récolte

Nous nous sommes entretenus par ailleurs avec Azzedine Benameur, l’un des chercheurs de Kryptowire. Il nous a expliqué que le composant d’AdUps était à l’origine conçu pour se charger des mises à jour de firmwares à distance (OTA, Over The Air). « C’est une pratique courante, car tous les constructeurs n’ont pas le temps ou les moyens de travailler chaque aspect du système » nous a-t-il indiqué. Il a ajouté que « malheureusement, beaucoup ne vérifient pas le fonctionnement de ces composants ».

Dans le cas de BLU, le chercheur nous a fait part de la « vraie surprise » du constructeur : « ils ont été pris au dépourvu ». Il nous a confirmé qu’une nouvelle version du composant avait été diffusée et que ces communications n’étaient plus à l’ordre du jour. Tout du moins pour l’instant : « Il est difficile de dire en fait si une mise à jour silencieuse ne sera pas envoyée plus tard, puisque le composant en a la capacité ».

La situation reste floue, car on ne sait pas si le code envoyé par AdUps l’a été intentionnellement, ou s’il s’agit « simplement » d’une erreur, le composant ayant été a priori conçu pour le marché chinois. Mais même dans ce cas, Azzedine Benameur nous rappelle les dangers du fameux code : « Le plus impressionnant selon moi est que les messages peuvent être filtrés par mots-clés. Rien n’empêche en théorie les autorités de récupérer l’ensemble des conversations qui abordent un sujet en particulier ».

Google a-t-elle le pouvoir de remédier à la situation ? Le chercheur nous confirme que la société a été avertie et qu’elle cherche à en savoir plus. Cependant, « Google a surtout le pouvoir d’encourager les constructeurs à changer d’habitudes, mais ne peut pas vraiment forcer », du moins tant que cela ne touche pas au fonctionnement de ses propres services, ce qui est inspecté durant le processus de validation Android. Google a donc demandé à AdUps de supprimer toute capacité de surveillance sur l’ensemble des smartphones possédant les Play Services, mais de nombreux terminaux en Chine ne les ont pas.

AdUps cherche à s’expliquer

Peu après la publication de l’article du New York Times dans la matinée, AdUps a publié un communiqué pour s’expliquer et indiquer que pour mener à bien sa mission sur les mises à jour de firmwares, le composant fourni rassemble des informations techniques sur l’appareil, son statut, un « résumé » des messages, etc. Les transmissions sont chiffrées et transitent par des connexions HTTPS. AdUps assure que la sécurité des utilisateurs est une priorité depuis le début.

Les capacités de filtrage ? Simple : les constructeurs récupérant les informations ne voulaient pas crouler sous le spam et autres conversations sans importance. Ils auraient donc demandé à AdUps de mettre en place un tri par mots-clés. Rien de plus.

La société chinoise indique tout de même avoir travaillé avec BLU et Google. Avec le premier, il s’agissait comme indiqué de supprimer les capacités problématiques. Avec le second, pour s’assurer que le périmètre des données était mieux contrôlé. Comme indiqué cependant par Azzedine Benameur, ces assertions sont difficiles à contrôler, notamment parce qu’on ne connait pas la liste des smartphones embarquant le fameux composant.

Les autorités américaines informées

L’information n’est en tout cas pas prête de retomber. Les autorités américaines sont en effet au courant de la situation et enquêtent actuellement. Kryptowire est en effet lié par contrat avec le département de la Sécurité intérieure (DHS), et même si l’analyse du HD R1 de BLU a été faite indépendamment, les résultats ont quand même été remontés au gouvernement en fin de semaine dernière.

Marsha Catron, porte-parole du DHS, a indiqué au New York Times que l’agence « avait bien été informée » et qu’elle travaillait avec « les secteurs public et privé pour identifier des stratégies appropriées de réduction des risques ».

Mais la question qui reste en suspens concerne évidemment la finalité des informations envoyées. Le gouvernement américain n’a pas souhaité donner de piste, expliquant ne pas savoir si ces données servaient à des fins de support, de publicité ou pour le renseignement. L’entreprise étant chinoise, l’affaire pourrait rapidement prendre un tournant politique. Et si le DHS ne souhaite s’avancer sur aucune piste, il n’en ferme dans le même temps aucune.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De nombreuses données émises régulièrement

Le constructeur américain BLU touché par le composant

Des fonctionnalités créées à la demande d'au moins un constructeur chinois

Les messages peuvent être filtrés par mots-clés avant la récolte

AdUps cherche à s’expliquer

Les autorités américaines informées

Commentaires (23)


Les acheteurs de téléphone n’ont pas spécialement été prévenus que leurs données partaient vers des serveurs chinois…








Mithrill a écrit :



Je ne vois pas le soucis, ce n’est pas vraiment une porte dérobée puisque c’était clairement indiqué non ? Ou alors il y a un truc que je n’ai pas compris…







De ce que j’ai compris ils permettent la MAJ à distance

Pour moi ça n’inclut pas “ah au fait on va aspirer des données personnelles des utilisateurs”



J’avoue avoir du mal à comprendre en quoi “récupérer” les SMS aide les MAJ distantes…









Mithrill a écrit :



Pour moi c’est Google (pour pas changer) et BLU qui ont fait de la merde une fois de plus.





Google y est pour quoi?



La news :

“il avait été conçu pour fournir à un constricteur chinois”





Python, de vrais serpents ces Chinois !!


Difficile de parler de backdoor puisque fait à la demande du constructeur et définie comme une fonctionnalité ajoutée à l’OS. Les devs se cachant même pas du fait que la demande émane de certains constructeurs.



C’est totalement discutable sur le fait que ce soit la voie inverse de la vie privée mais pour le reste…


Tiens… Je me demandais quand est-ce qu’un tel scandale allait sortir. Ben c’est bon! 😁



Après Lenovo, les constructeurs de téléphone. C’est dans l’ordre des choses.



Ah et au fait, quand on achète un produit a un fournisseur, vous lui faites confiance? Alors pourquoi Blu ou autre aurait du se méfier?








picoteras a écrit :



La news :

“il avait été conçu pour fournir à un constricteur chinois”





Python, de vrais serpents ces Chinois !!





<img data-src=" />



Qu’en est-il des smartphones Huawei et ZTE vendus en France ? Les modèles Wiki sont-ils concernés ?








seboquoi a écrit :



Les modèles Wiki sont-ils concernés ?







Non, heureusement, aucun “wiki” n’a été toujours touché









Mithrill a écrit :



Je ne vois pas le soucis, ce n’est pas vraiment une porte dérobée puisque c’était clairement indiqué non ? Ou alors il y a un truc que je n’ai pas compris…



Edit pour ajout : Et en plus le rapatriement des données ne concerne pas uniquement le marché chinois au contraire de ce qu’indique l’article.







Entre “c’est un composant pour faire des MAJ OTA” et “c’est un composant pour faire des MAJ OTA et aspirer la moitié des données du téléphone avec possibilité de prise de contrôle a distance et recherche par mot clé”, y’a quand même une put* de différence, non ?



+1.

les sms et la géoloc pour faire une MAJ de firmware OTA, c’est un peu comme coller les données biométriques de tout un pays dans une grosse base pour lutter contre quelques dizaines de milliers de cas de fraude.



wait…<img data-src=" />


Donc la télémétrie des OS chinois, c’est mal… mais la télémétrie des OS américains, c’est bien ?








hellmut a écrit :



+1.

les sms et la géoloc pour faire une MAJ de firmware OTA, c’est un peu comme coller les données biométriques de tout un pays dans une grosse base pour lutter contre quelques dizaines de milliers de cas de fraude.



wait…<img data-src=" />







C’est un peu comme, effectivement

C’est-à-dire totalement légitime



Décidément, bientôt on va se déconnecter :les smart phone envoient des données quotidienne aux constructeurs, les pc qui sont infectés de backdoor, les smart tv LG qui envoient des données. Les serveurs ou les switchs qui sont surveillés par la NSA.

Quoiqu’on fasse, on est surveillé. Au final c’etait bien de vivre sans internet.


J’ai du mal à comprendre … Le composant dont on parle est matériel ? Logiciel ? Les deux ?


<img data-src=" />



Je parlais de la marque Wiko évidemment.


Google le fait tous les jours, avec toutes vos données, personne ne dit rien.



Là c’est Chinois, alors tout de suite, c’est scandaleux.



2 poids, 2 mesures, sachant que AdUps avait, semble t’il, informé ses clients.








discom38 a écrit :



Google le fait tous les jours, avec toutes vos données, personne ne dit rien.



Là c’est Chinois, alors tout de suite, c’est scandaleux.



2 poids, 2 mesures, sachant que AdUps avait, semble t’il, informé ses clients.





Google te le dit clairement dans le truc où tu (toi, client final) as cliqué “j’ai lu et j’accepte”









discom38 a écrit :



Google le fait tous les jours, avec toutes vos données, personne ne dit rien.





Si on exclue tout ceux qui râlent, effectivement personne ne dit rien.

Ce n’est pas dur de trouver des gens trouvant le comportement de Google scandaleux, il n’y a pas deux poids deux mesures. Tu crois que DuckDuckGo ou ProtonMail sont apparu parce que tout le monde adorait Google ? <img data-src=" />