Avez-vous des logiciels malveillants préinstallés sur votre nouveau smartphone Android ?
Déballer un nouveau smartphone devrait être l’une des nouvelles joies du monde de la technologie. Retirez le cellophane, faites glisser le haut de la boîte et allumez l’appareil d’origine. Alors que le téléphone se prépare pour un nouveau système d’exploitation, le logo de démarrage tourne dans son éclat coloré.
Et si ce n’était pas si propre ? Quelque chose de plus sinistre peut se cacher sous cet extérieur lumineux. Il s’avère qu’il existe de plus en plus de preuves que vous ne pouvez tout simplement pas faire confiance à votre tout nouveau téléphone Android.
Chaîne d’approvisionnement de l’électronique grand public
Les chaînes d’approvisionnement manufacturières modernes sont complexes. En raison de la mondialisation, il existe un marché mondial pour tout, des matières premières aux produits finis, et l’électronique grand public ne fait pas exception. La Chine est l’un des plus grands producteurs d’électronique et de nombreuses entreprises occidentales externalisent leur production en Chine depuis le début de la croissance économique dans les années 1980.
La Chine est également le plus grand producteur de silicium, un matériau important pour l’électronique moderne. Le pays est responsable de la fabrication de la plupart des produits électroniques grand public utilisés dans le monde. Rien qu’en 2017, les importations chinoises aux États-Unis ont totalisé 189 milliards de dollars. Cette croissance phénoménale et cette domination du marché ont conduit à la récente guerre commerciale entre les États-Unis et la Chine, les deux pays imposant des droits de douane élevés sur les produits de l’autre tout au long de 2018.
Crédit image : omur12/Depositphotos
Bien que la Chine contrôle une grande partie de la chaîne d’approvisionnement de fabrication, les matériaux et les pièces assemblées proviennent du monde entier. C’est pour cette raison que « Designed in California. Assembled in China » est gravé au dos de votre Apple iDevice. Dans son essai de 1958 « I, Pencil », l’économiste Leonard Reed détaille le processus complexe requis pour produire un crayon, un produit jetable d’une simplicité trompeuse.
Faire une vidéo du jour
Les chaînes d’approvisionnement électroniques vastes et complexes signifient qu’une traçabilité précise est une tâche presque impossible.
Fabriquer des smartphones Android
L’approche murée d’Apple signifie qu’ils maintiennent un contrôle strict sur le processus de fabrication. L’entreprise a été accusée dans le passé de conditions de travail médiocres et dangereuses pour les employés de l’usine, mais elle exerce un contrôle strict sur le processus.
Pour les appareils Android, ce n’est pas le cas.
Google a adopté une approche non interventionniste de son système d’exploitation mobile. Parce qu’Android est open source, les fabricants peuvent faire presque tout ce qu’ils veulent sans payer un centime. Ce modèle commercial est crédité d’avoir propulsé Android dans le courant dominant et d’avoir occupé la domination actuelle du marché.
Cependant, cette approche présente quelques inconvénients. Mises à jour fragmentées, lentes ou parfois inexistantes, lanceurs insensibles ou remplis de spam, et plus encore. Chaque fabricant et opérateur a la possibilité de concevoir sur mesure le matériel et les logiciels de chaque appareil. Par conséquent, il existe actuellement de nombreux appareils Android différents sur le marché.
Étant donné que la majeure partie du processus de fabrication se fait en Chine (c’est pourquoi l’achat de téléphones directement en Chine est devenu si populaire), les usines assemblent souvent des smartphones pour plusieurs fabricants. Ils peuvent même fonctionner sur la même ligne et simplement changer de marque. Il en résulte que de nombreux appareils partagent des logiciels, des composants et parfois des produits finis entiers.
Vous ne pouvez pas faire confiance à votre nouveau smartphone
L’ouverture d’Android le rend intrinsèquement vulnérable aux logiciels malveillants, contrairement aux appareils soigneusement sélectionnés d’Apple. Alors que Google a pris des mesures au cours des dernières années pour améliorer la sécurité de sa plate-forme, les mauvaises pratiques des fabricants et une chaîne d’approvisionnement alambiquée ont créé des opportunités pour les attaquants malveillants.
Logiciel malveillant RottenSys
Début 2018, le service Wi-Fi du Xiaomi Redmi a attiré l’attention des chercheurs de Check Point Research (CPR). Après enquête, ils ont découvert qu’il n’offrait pas du tout de service Wi-Fi. Au lieu de cela, il a demandé une longue liste d’autorisations Android sensibles, dont aucune n’était liée aux services Wi-Fi.
L’une des autorisations les plus importantes est DOWNLOAD_WITHOUT_NOTIFICATION. L’application semble utiliser cette autorisation pour télécharger des logiciels malveillants à partir d’un serveur de commande et de contrôle (C&C) après un léger délai lors du démarrage initial du téléphone. Surnommé RottenSys, le malware est capable de se cacher du système d’exploitation en exploitant un framework open source appelé MarsDaemon pour maintenir ses processus en vie.
Le serveur C&C sert des fichiers pour les réseaux publicitaires malveillants qui sont installés silencieusement sur les téléphones par de faux services Wi-Fi. Le CPR estime que les attaquants peuvent gagner jusqu’à 115 000 $ pour 10 jours d’exploitation. Les chercheurs ont également trouvé des preuves que les attaquants se préparaient à recruter des appareils infectés sur leur botnet (qu’est-ce qu’un botnet ?).
L’enquête du CPR a révélé que le grossiste en électronique Tianpai traitait près de la moitié des appareils infectés. Bien qu’ils n’aient pas laissé entendre que Tianpai était complice, ils ont conclu que le logiciel malveillant pouvait avoir été installé à un moment donné de la chaîne d’approvisionnement.
Le logiciel malveillant a commencé à se propager en septembre 2016 et, en mars 2018, il avait infecté près de 5 millions d’appareils dans le monde. Heureusement, la suppression de RottenSys ne prend que quelques secondes – une fois que vous savez où le trouver. Si votre nouvel appareil Android semble inondé de logiciels publicitaires, accédez à vos paramètres et supprimez toutes les applications répertoriées dans votre rapport RCP. Après avoir désinstallé l’application, RottenSys devrait disparaître avec elle.
Technologie AdUps de Shanghai
Nos smartphones génèrent et stockent de grandes quantités d’informations personnelles et sensibles. La dernière chose que vous pouvez attendre d’un tout nouveau smartphone, c’est qu’il collecte toutes les données et les envoie à un serveur chinois toutes les 72 heures.
Cependant, cela a été découvert en 2016 par des chercheurs de la société de sécurité Kryptowire. Le firmware concerné apparaît sur plusieurs appareils Android vendus aux États-Unis, y compris le populaire BLU R1 HD. Il bénéficie d’un accès illimité à toutes vos données en raison du contournement des autorisations Android. Selon le rapport, cela comprend :
« … les informations sur l’utilisateur et l’appareil, y compris le corps du message en texte intégral, la liste de contacts, les journaux d’appels avec les numéros de téléphone complets, les identifiants uniques de l’appareil, y compris l’identité internationale de l’abonné mobile (IMSI) et l’identité internationale de l’équipement mobile (IMEI). »
Il est également capable de reprogrammer à distance des appareils, d’installer des applications et de collecter des données de localisation granulaires. Kryptowire a retracé une activité suspecte jusqu’à la société chinoise Shanghai AdUps Technology. La société a déclaré que la collecte de données était erronée et que le micrologiciel n’était utilisé que pour fournir des mises à jour. Cependant, ils ont travaillé avec le gouvernement américain, Amazon, BLU et Google pour supprimer le logiciel espion.
Un an plus tard, les chercheurs ont découvert que Shanghai AdUps utilisait toujours des logiciels espions sur les appareils Android. La plupart des siphons de données ont été cachés plutôt que supprimés. Certaines fonctionnalités des appareils américains ont été désactivées, mais ils renvoient toujours des données à la société chinoise. Kryptowire a noté qu’AdUps continue de collecter des listes d’applications installées, de numéros de téléphone, d’identifiants d’appareils et d’informations sur les tours de téléphonie cellulaire.
Compte tenu de l’état des relations entre les États-Unis et la Chine, il convient de noter que Kryptowire a reçu un financement de la US Defense Advanced Research Projects Agency (DARPA) et du Department of Homeland Security (DHS).
Fais ce que tu veux.
À qui pouvez-vous vraiment faire confiance ?
Une grande partie de la responsabilité des logiciels malveillants préinstallés et des failles de sécurité intégrées incombe à la Chine. En effet, la politique qui régit le plus grand État de surveillance au monde peut parfois s’infiltrer dans leur fabrication. L’attribution est difficile, cependant, et même les rapports de dénonciation et d’humiliation des parties responsables ne font souvent que des suppositions éclairées.
Cela ne veut pas dire que la Chine devrait être complètement tirée d’affaire. Les récentes allégations contre Huawei signifient que vous ne devriez probablement pas acheter leurs téléphones si vous tenez à la confidentialité. Ce n’est pas non plus la première fois que Huawei est impliqué dans un scandale de sécurité.
Bien que le flux actuel de logiciels malveillants se limite jusqu’à présent aux appareils Android, cela ne veut pas dire qu’il va rester ainsi pour toujours. Même sous le contrôle d’Apple, le risque de malware est peu probable, pas impossible. Si toute cette incertitude vous donne envie de lever la main dans la défaite, il est peut-être temps d’envisager d’abandonner votre smartphone et d’en acheter un stupide.
A propos de l’auteur
