Un smartphone Android acheté, une backdoor chinoise offerte

Korben · Novembre 16, 2016, 9:21

Originally published at: http://korben.info/chinese-backdoor-android.html

Trop fort les Chinois ! Les chercheurs en sécu de Kryptowire viennent de découvrir une backdoor bien planquée dans le firmware de la plupart des smartphones chinois petit budget vendus aux États-Unis. Et que fait cette backdoor ? Et bien elle collecte des infos comme le journal des appels, les SMS, la liste des contacts, l’historique…

Alex_Uper · Novembre 16, 2016, 9:46

sur un smartphone rooté on peut déjà commencer par virer les paquets
com.adups.fota.sysoper
com.adups.fota

Iceksy · Novembre 16, 2016, 9:52

Petite question: Les smartphones Wiko (marque “française” mais propriétaire et fabricant chinois) sont ils impactés ?
J’en ai pas, mais ça peut intéresser du monde.

Kamizi · Novembre 16, 2016, 10:06

Vendu en Amérique, ils ont fait ceci pour se venger de PRISM?

ErGo_404 · Novembre 16, 2016, 10:23

Probablement. Les smartphones Archos aussi, du coup.

ErGo_404 · Novembre 16, 2016, 10:24

J’aurais été très étonné que ça ne soit pas le cas. Reste à voir comment c’est utilisé, mais à mon avis c’est surtout pour des questions d’espionnage industriel des étrangers, et plus localement pour retrouver facilement un dissident.

Iceksy · Novembre 16, 2016, 10:41

Ben, Archos est Français français, même s’ils produisent en Chine.
La différence de Wiko, c’est que, malgré ses pubs “Marque Française”, le proprio est chinois.
Mais si Archos est concerné, y a des risques pour que tous les constructeurs qui font fabriquer en Chine le soient, non ?

guilamu · Novembre 16, 2016, 1:19

“En tout cas, une chose est sûre, la backdoor ne peut pas être supprimée ou désactivée.”

Ben si on peut l’enlever :

Korben · Novembre 16, 2016, 4:33

Oui avec une MAJ de firmware (et dans ce cas ci, poussée par BLU). Mais sans rooter le téléphone, on ne peut pas l’enlever ou la désactiver. (Ou alors j’ai loupé un truc sur ton lien)

Thx

guilamu · Novembre 16, 2016, 5:08

Oui Oui, soit par une maj officielle du firmware soit via root of course. Ils ont mis une backdoor énorme, c’est sûr qu’elle est pas en officiel sur le PlayStore

fned · Novembre 16, 2016, 7:01

La backdoor en question etait presente sur mon blackview 5000
C’est un modele qui a plus d’un an et sur lequel j’avais fait une reinstalle complete de lollipop.

Il y a deux semaines, il s’est amuse a placer des pubs du figaro pardessus mon ecran de veille. Dont je ne pouvait me debarasser qu’en acceptant l’installe de l’appli figaro. Erreur fatale des chnois. J’aurais pu tolerer alibaba mais pas le figaro !

En fait mon lollipop etait infecte par ceci :
https://www.virustotal.com/en/file/ec85b51ee758aa039f8a21304a3b928d4b8b8c4ff190455db4142402e1493bfc/analysis/

Donc j’ai fait un peu le menage et efface com.toolsys.addcontact qui etait le porteur de ce dropper. Mais je savais depuis avec ceritude que ce bon vieux bv5000 etait rootkite d’entree de jeux avec l’image Lollipop d’origine. Maintenant que j’ai vire AdUps je peux peut etre esperer un peu plus de tranquilite, mais c’est pas demain la veille que je vais y installer une appli de ma banque.

Pour degager Adups, il suffit d’etre root, de convertir l’appli systeme en appli ordinaire, puis effacer. Pour avec certitude effacer toute trace, y compris dans la partition montee en lecture sur /system, on peut utiliser aussi une custom recovery. J’ai TWRP et ca marche bien.

AdUps etait deja cite comme malware android depuis mars dernier sur : https://github.com/angrave/SystemProgramming/wiki/File-System,-Part-8:-Removing-preinstalled-malware-from-an-Android-device

Mais je constate avec consternation que ni malwarebytes (PC et android) ni aucun des antivirus android ne le detecte, pas meme comme PUP ou adware. Et je me dis avec la meme consternation que si ce telephone envoie toutes les 72 heures vers des IP louches, que si les services americains mettent des mois a le detecter, en ayant besoin pour ca d’un intervenant externe comme Kryptowire, on est pas dans la pente du progres en securite digitale.

Pour qui voudra, voici une liste d’utilitaires utiles que j’ai utilise pour le bv5000 :
adb-setup-1.4.3.exe
MauiMETA_exe_v9.1548.0Official.rar
Mediatek_Driver_Auto_Installer_1.1352.00.zip
MtkDroid_2.5.3d.zip
SpaceMTKTool v 1.10.rar
SP_Flash_Tool_v5.1620_Win.zip
t89j-jk-bv5000-33mgu-hd-128g16g-fdd3m-bom21_BV5000_C1_Blackview_V1.1_20160513_R11_release.zip
t89j-jk-bv5000-hd-33pgu-128g16g-1851_BV5000_C1_Blackview_V0.7_20160304_release.tar.gz
t89j-jk-bv5000-hd-33pgu-128g16g-1851_BV5000_C1_Blackview_V1.1_20160419_release.zip
t89j-jk-bv5000-hd-33pgu-128g16g_BV5000_C1_Blackview_V1.5_20151110_release.rar
TWRP_Recovery_BV5000.rar

Si vous utilisez ces softs de travers, vous allez perdre l’IMEI de votre telephone et toutes les donnees que vous avez dessus. A noter: SpaceMTKTool tente de nettoyer automatiquement votre telephone des malwares chinois les plus connus, mais il est helas pas a jour.

fned · Novembre 16, 2016, 7:08

Petite reponse: adb shell “pm list packages|grep adup”

Grosse reponse: envoie moi un Wiko et je te le dirai.

James_ptg · Novembre 17, 2016, 5:12

Zut je viens de commander un smart chinois qq connais un bon outils pour scanner son android ?

Zuhlfain · Novembre 17, 2016, 7:06

On a de la chance Addups ne fait pas de keylogging contrairement à CarrierIQ, de quoi vous vous plaignez (lol) ?

fned · Novembre 17, 2016, 9:29

Les antivirus android sont parfaitement inutiles. Les antivirus PC peuvent parfois detecter les virus des ELF pour arm, mais il faut pas trop compter la dessus. Pour avoir une idee du niveau de detection, regarde par example le lien totalvirus dans mon post precedent.

Bref: utilise des listes de noms de classes qui sont connues pour etre porteuses de porte derobees (backdoor) et de pourriciel (malware), comme celle que tu trouve dans les scripts de SpaceMTKTool, et efface les packages de ton telephone. Pour faire ca il faut evidemment commencer par rooter le telefon, mais sur les chinois c’est toujours possible. L’activation sur le telephone des modes debug et engineering est au moins documentee sur des reseaux sociaux, et gogol traduit assez bien le chinois. Ensuite tu utilise la methode fastboot pour rooter le telephone. Enfin tu nettoie le truc. Si tu veux parfaire la chose, tu peux installer des ROMs comme AOSP ou Cynogen, mais ne te fais pas d’illusions, si la puce a ete concue en Chine, elle contient aussi des backdoors au niveau materiel, et tu ne pourra pas aller tripoter les fils metalliques d’un dix-millieme de millimetre qui constituent cette porte derobee.

Au final, tu aura depense un bon paquet d’heure de bidouilles, et tu pourra quand meme pas utiliser ce telephone en toute confiance. Tu n’esperait pas quand meme pouvoir faire avec un telephone a 80euros la meme chose qu’avec un a 800 ? Et, soit dit en passant, les telephones “de marque” a plusieurs centaines de brousouf sont aussi truffes de backdoors, elle ont plus de chances d’aboutir chez Trump, un peu moins de chance d’aboutir au Nigeria via la Chine ou la Russie, mais elles sont bien la. Si tu veux un telephone qui soit equilibre, installe tous les backdoors, ceux de Chine, de Russie, de Wiko-Versailles et d’ailleurs. Pour l’equilibre des forces cosmiques, l’ouverture maximale des chakras et la paix dans le monde

SnakeMAR · Novembre 17, 2016, 5:59

Méthode un peu plus simple: Acheter un bon vieux Nokia 3310.

fned · Novembre 17, 2016, 10:20

Peut etre meme un N900, le mien se morfond sur une etagere.

SnakeMAR · Novembre 18, 2016, 11:06

Sacré veinard. J’aurai bien voulu en posséder un exemplaire quand il est sorti, le parfait smartphone du bidouilleur précédé du HTC HD2.