Nouvelle semaine, nouveau problème avec un firmware embarqué par certains smartphones Android. La société de sécurité BitSight a découvert en effet un trou béant dans le code, ouvrant la voie à des communications non chiffrées vers deux domaines qui, heureusement, n’étaient pas enregistrés.
La société BitSight a publié les résultats de ses recherches sur une importante faille de sécurité dans le code d’un firmware que l’on trouve dans certains modèles de smartphones Android, la plupart orientés vers l’entrée de gamme. Une fois de plus, le constructeur BLU est concerné. La recette appliquée est en effet la même que la semaine dernière : un composant conçu par une entreprise chinoise, mais cette fois avec un potentiel d’action pratiquement sans limite.
Deux domaines laissés vacants
Contrairement en effet au problème soulevé par Kryptowire – envoi de données personnelles vers des serveurs chinois – le firmware concocté par la société Ragentek dispose d’un rootkit. Autrement dit, d’un composant se chargeant au démarrage du système, possédant des droits root, pouvant exécuter n’importe quelle action et cherchant à masquer sa présence (il ne répond pas aux commandes classiques, comme PS).
Le potentiel de ce rootkit est très vaste, même si BitSight indique que rien ne semble indiquer une volonté de nuisance, tout portant à croire qu’il s’agisse d’une vraie erreur technique. La porte ouverte cherche à se connecter à deux domaines qui n'auraient curieusement jamais été achetés. BitSight les a donc réclamés, s’étonnant qu’aucun pirate n’ait visiblement cherché à les avoir plus tôt.
Avec les droits root, tout est possible
Une fois les domaines achetés, BitSight a testé les capacités du rootkit. Il n’y a pas vraiment de limite, puisque des pirates auraient pu provoquer des exécutions distances de code arbitraire, avec installation d’enregistreurs de frappe, de malwares et globalement tout ce qu’il fallait pour contourner la sécurité d’Android, voler des données personnelles, bancaires et ainsi de suite. Et ce d’autant plus facilement que ces opérations étaient effectuées en secret et que l’utilisateur n’a aucun signe visible d’activité suspecte.
Les tests de BitSight ont été effectués sur un smartphone de marque BLU, déjà concerné par la porte dérobée la semaine dernière. Ce constructeur américain, basé en Floride, commercialise une série de modèles, dont beaucoup sont orientés vers l’entrée de gamme. Comme nous l’expliquait le chercheur Azzedine Benameur de chez Kryptowire, il est courant que les fabricants sous-traitent une partie des composants, car ils « n’ont pas le temps ou les moyens de travailler chaque aspect du système », laissant ce type d’incident survenir.
BLU a déjà mis à jour les modèles concernés, l’entreprise étant visiblement réactive sur les problèmes de sécurité. Cependant, BitSight n’a pas encore pu tester l’efficacité du correctif, et le problème souligne une situation plus générale des composants logiciels et matériels fournis par d’autres entreprises. De plus, même si les domaines avaient été achetés pour des raisons légitimes, les smartphones touchés auraient quand même été susceptibles de subir des attaques de type homme du milieu.
Des communications en clair
Car non seulement les communications sont silencieuses et peuvent transporter à peu près n’importe quelle commande, mais elles ne sont en plus pas chiffrées. Elles circulent donc en clair, le composant ne vérifiant pas non plus la signature électronique pour contrôler la provenance des fichiers binaires éventuellement envoyés.
Ce qui fait dire à BitSight, interrogé par Ars Technica, qu’il s’agit d’une « compromission complète du système » et que les pirates menant une attaque de type homme du milieu « peuvent faire ce qu’ils veulent ». En clair, ces smartphones étaient vulnérables dès lors qu’ils étaient connectés à des points d’accès Wi-Fi publics ou plus globalement l’ensemble des réseaux non-sécurisés.
55 modèles, pour environ trois millions d'utilisateurs
Selon les propres statistiques fournies par la société de sécurité, 55 modèles différents se sont connectés aux fameux domaines. 26 % provenaient de chez BLU, 11 % de chez Infinix, 8 % de chez Doogee, et environ 4 % pour Leagoo et Xolo. Tous ces constructeurs ont été avertis, mais actuellement seul BLU a réagi.
La situation est loin d’être résolue, car la société chinoise Ragentek n’a pas encore réagi. En outre, 47 % des modèles qui se sont connectés aux domaines ne renvoyaient aucune information sur les constructeurs. BitSight indique donc que les prochaines semaines devraient faire grandir la liste des fabricants à avertir. Actuellement, trois millions d’utilisateurs seraient concernés, essentiellement sur le marché américain.
En attendant, les utilisateurs éventuellement touchés ne peuvent rien faire pour colmater le trou béant dans la sécurité, à moins d’utiliser systématiquement une connexion VPN quand ils se connectent sur un réseau public. Notez que l’US-CERT a publié un bulletin d’avertissement listant notamment l’ensemble des modèles touchés par le problème.