Archos, ZTE et Lenovo sont aussi empêtrés dans l’affaire du backdoor chinois

ReunigKozh · Octobre 11, 2017, 9:18

A Quoi ça sert de chiffrer de bout en bout sms, mms, mails, etc… si ton smartphone t’espionne par construction ?

Archos, ZTE et Lenovo sont aussi empêtrés dans l’affaire du backdoor chinois
Archos, ZTE et Lenovo sont aussi empêtrés dans l'affaire du backdoor chinois - Numerama
Julien Lausson - 21 décembre 2016 - Tech

Dans l’affaire du firmware chinois livrant périodiquement des données personnelles, une société de sécurité informatique affirme que 43 constructeurs de smartphones sont concernés, dont Archos, ZTE et Lenovo.

L’affaire des smartphones Android altérés par un firmware indiscret rebondit. Selon les trouvailles faites par Trustlook, une entreprise de sécurité informatique, le nombre de constructeurs concernés par ce problème est plus vaste que prévu. Son rapport, publié la semaine dernière, liste en effet 43 fabricants, dont Archos, Hisense, Lenovo, MediaTek et ZTE.
Ces entreprises utilisent le système de mise à jour OTA conçu par Adups Technology Co Ltd, une compagnie chinoise basée à Shanghai. Or, il a été découvert en novembre que la solution fournie par Adups se montrait fort curieuse : en analysant les produits du constructeur BLU, Kryptowire, une firme spécialisée dans la sécurité informatique, a remarqué l’envoi régulier de données vers la Chine.

Étaient concernés les SMS, l’historique des appels, la liste des contacts, des codes relatifs à l’appareil (IMEI) et à l’abonné (IMSI), les informations de localisation ainsi que l’usage des applications. Le firmware était aussi en mesure d’exécuter des reprogrammations et des installations d’autres applications sans l’accord de l’usager, en contournant le système de permission du système d’exploitation.
« En raison de la gravité de ce problème, les experts de Trustlook ont mené une enquête complémentaire et ont publié leurs conclusions dans un rapport technique. Celui-ci fournit des détails précis sur la façon dont les informations privées sont collectées et sur la façon dont ces données sont transmises », écrit la société, qui estime à 700 millions le nombre de terminaux concernés par Adups.

700 millions de smartphones Android seraient concernés

Trustlook ajoute que ce logiciel espion, outre les éléments cités plus haut, transmet aussi l’adresse Mac, le numéro de version d’Android et des renseignements sur l’opérateur. Ces envois se font au rythme d’une fois toutes les 72 heures. « [i]Les gens aiment à penser que leur tout nouveau smartphone est propre et débarrassé de tout malware, mais ce n’est pas toujours le cas[/i] », fait remarquer l’entreprise. Pour autant, est-ce à dire que les smartphones de ces constructeurs qui sont à destination des clients français sont impactés par cet indiscret firmware ?

FrAndroid tempère le risque pour les usagers en Europe, en faisant remarquer que la présence de ce logiciel ne figure par exemple pas sur les téléphones américains (c’est le cas de ZTE par exemple), tandis que des fabricants ont pris la décision de se séparer d’Adups (comme BLU). La méfiance doit toutefois être de mise, au regard des noms figurant dans la liste rédigée par Trustlook.
Si la majorité des constructeurs se focalise exclusivement au marché chinois, on note toutefois la présence de quelques marques qui ont une envergure suffisante pour atteindre le marché européen — c’est le cas de Lenovo, ZTE ou encore Hisense. Plus perturbant, il y a aussi des groupes français, à l’image d’Archos mais aussi de Wiko (Tinno est l’entreprise chinoise qui est derrière la marque commerciale française).
Et maintenant ? Pour PC World, la découverte de l’existence de ce firmware dans les fabricants cités ci-dessus ne signifie pas forcément que tous les smartphones de toutes les marques transmettaient des informations périodiquement à travers Adups. Cela étant, l’affaire devrait conduire d’autres sociétés à suivre le chemin qu’a emprunté BLU, en se détachant des solutions fournies par Adups.
Pour savoir si votre smartphone est affecté, Android Anthority indique que Trustlook a mis à jour son antivirus. Le site met toutefois en garde : l’antivirus est utilisable gratuitement, à condition d’en accepter les conditions d’utilisation… qui incluent, outre des achats intégrés, l’affichage de notifications pas forcément très désirables et la captation de quelques données personnelles qui pourront ensuite être partagées avec des tiers.
Comme le notent nos confrères, c’est plutôt gonflé vu le contexte.

ReunigKozh · Octobre 11, 2017, 9:24

OnePlus pas mieux et Samsung serait-il honnête… ?

OnePlus collecte les données sensibles de ses utilisateurs à leur insu

Corentin Durand - il y a 5 heures -

La firme chinoise OnePlus collecte les données de ses clients automatiquement sans leur autorisation. En outre, ces données qui transitent des smartphones vers les serveurs de l’entreprise ne sont pas anonymisées, ce qui constitue une grave négligence de sécurité.
OnePlus a toujours besoin d’affirmer sa crédibilité face à des acteurs plus importants sur le marché du smartphone. La firme chinoise dérivée d’Oppo s’est toutefois fait un nom grâce à ses produits accessibles.
Néanmoins, elle est souvent au cœur de polémiques plus ou moins graves concernant son service client ou encore son honnêteté. Les découvertes d’un chercheur en sécurité informatique, Chris Moore, pourraient cette fois durablement écorner la marque chinoise.
Collecte déloyale et dangereuse Comme il le révèle, documentation à l’appui, OnePlus utilise son clone d’Android, OxygenOS, pour collecter les données de ses clients. Le chercheur prouve en outre que les données collectées par la firme sont, en plus d’être considérables, particulièrement exposée car ces dernières sont liées à l’appareil et au compte de l’utilisateur. En somme, OnePlus collecte des données non anonymisées par des moyens troubles.

Hey [url=https://twitter.com/OnePlus_Support?ref_src=twsrc%5Etfw]@OnePlus_Support[/url], it's none of your business when I turn my screen on/off or unlock my phone – how do I turn this off ? /cc :[url=https://twitter.com/troyhunt?ref_src=twsrc%5Etfw]@troyhunt[/url] [url=https://t.co/VihaIDI6wP]pic.twitter.com/VihaIDI6wP[/url] — Christopher Moore (@chrisdcmoore) [url=https://twitter.com/chrisdcmoore/status/819708963633541121?ref_src=twsrc%5Etfw]January 13, 2017[/url]

Déverrouillage du clavier et réseaux Wi-Fi C’est au travers un module du système d’exploitation que l’entreprise récupère les données plus ou moins sensibles : OnePlus Analytics. Parmi les données transmises, on trouve des éléments concernant l’utilisation du smartphone (en particulier le déverrouillage de celui-ci, à quelle heure et à quelle rythme), mais également des éléments qui pourraient conduire à une géolocalisation, tels que les réseaux Wi-Fi auxquels l’appareil est connecté. Toutes ces données sont envoyées par l’application, parallèlement au numéro de série du smartphone. Les données permettraient à la firme d’identifier un utilisateur en particulier et d’obtenir sur lui de précieuses informations que l’on imagine déjà dans les mains de hackeurs malveillants.

En réaction aux découvertes de M. Moore, l’entreprise chinoise s’est défendue en expliquant que la collecte était désactivable — ce qui est partiellement vrai — et qu’il s’agissait de deux flux distincts de données chiffrées durant leur transfert vers des serveurs Amazon.
Parmi ces deux flux, un seul peut être désactivé par l’utilisateur, celui nommé usage analytics et qui est censé aider à améliorer le logiciel. Pour le désactiver, il faut se rendre dans les paramètres avancés du système alors que ce type de programme nécessite normalement l’approbation de l’utilisateur.
De plus, le second flux de données collectées est, lui, automatique, et il est impossible de le désactiver sans passer par une prise en main du smartphone depuis les outils pour PC d’Android (ADB). Ce qui n’est pas forcément à la portée de tous les utilisateurs. Ce second flux est par ailleurs celui qui contient les informations sur l’appareil, dont le numéro de série.

Alaegatae · Octobre 13, 2017, 8:17

Je n’ai pas trouvé Xiaomi dans les messages ci-dessous, ni dans les liens indiqués.
Ouf ! Pour le moment. :

piero · Octobre 14, 2017, 8:50

[quote=“crom_dub, post:3, topic:3422”]Je n’ai pas trouvé Xiaomi dans les messages ci-dessous, ni dans les liens indiqués.
Ouf ! Pour le moment. ::)[/quote]

Tu rigole ?
https://forum.xda-developers.com/general/security/xiaomi-firmware-multiple-backdoords-t2847069

vincent · Octobre 15, 2017, 5:04

[quote=“piero, post:4, topic:3422”]Tu rigole ?
https://forum.xda-developers.com/general/security/xiaomi-firmware-multiple-backdoords-t2847069[/quote]

Tu as fait des tests sur ton téléphone piero ?

Le thread date de 2014. Je serais curieux de voir si Xiaomi continue à espionner ses clients aujourd’hui.
(à vue de nez tu peux utiliser netstat plus pour commencer)

Alaegatae · Octobre 15, 2017, 7:48

À supposer que les Chinois, via mon téléphone Xiaomi, me pistent comme Google et autres, avec mon abonnement Free à 2 € et le peu d’usage que je fais dudit téléphone, il y a peu de données (intéressantes ? utiles ?) à récupérer de ce côté.
D’autant plus que « Le compte Mi n’arrive pas à se connecter », vu que j’ai restreint quelques paramètres, et autorisé seulement quand j’active le Wifi.
L’accès à mon ordinateur et à son disque me gênerait beaucoup plus.

Après installation de netstat, pour l’onglet « ESTABLISHED », j’ai deux services Google (Play et Store), et un « Mi service framework », tout ça en Wifi.
Il a fallu que je me connecte à Google…
Après coupure du Wifi, il ne reste que l’écoute de l’économiseur de batterie… me dit netstat.
« ESTABLISHED » est vide, et il y a la même chose dans « LISTEN » et « ALL » :

Merci pour netstat, j’ai tendance à rester un vieux de l’ordinateur, je n’ai pas encore sauté le pas du « tout téléphone »…

vincent · Octobre 15, 2017, 7:59

Michel, as-tu donné les droits root à l’appli ? Je ne suis pas sûr de mon coup, mais il est probable que sans privilèges, seule une partie du trafic soit visible pour l’utilisateur.

Alaegatae · Octobre 15, 2017, 8:58

Non, mon téléphone n’est pas rooté, et j’ai limité sévèrement les droits, application par application.

Pourtant, une grosse partie du site que je fréquente (https://miui-france.org/ accès si tu es inscrit) est consacrée au rootage. Et aux problèmes et pépins subséquents !

Je ne suis pas souvent en Wifi au téléphone, du coup Googlemail m’envoie les messages encore non lus par le téléphone. À la prochaine fois, je lancerai netstat avant !

lareinedeselfes · Octobre 15, 2017, 10:57

je savais bien que j’ avais une très bonne raison de ne pas utiliser de téléphone portable !

Alaegatae · Octobre 16, 2017, 9:10

En parler, c’est agir contre :

Un peu comme le viol des actrices par des « gros porcs »…
(Heureusement, les cochons ne portenet pas plainte pour insultes.)