Plusieurs dizaines de smartphones économiques sont susceptibles d’être piratés, grâce à un problème avec une application fournie avec le chipset UNISOC qui alimente les combinés.
« La vulnérabilité permet aux intrus d’accéder aux journaux d’appels et système, aux SMS, aux contacts et à d’autres données privées, d’enregistrer une vidéo sur l’écran de l’appareil ou d’utiliser la caméra externe pour enregistrer une vidéo, ou même de prendre le contrôle de l’appareil à distance, en modifiant ou en effaçant données », a déclaré Kryptowire, société de sécurité mobile basée à McLean, en Virginie, qui a découvert la faille.
La vulnérabilité existe sur les téléphones utilisant le chipset UNISOC SC9863A, qui comprend de nombreux téléphones coûtant environ 100 $ ou moins, tels que les Nokia C20, C20 Plus et C30, les prochains Nokia C21 et C21 Plus, les Motorola Moto E6i et E7i Power, le Lenovo A7 et K13, la série ZTE Blade E, le Realme C11 et même les Samsung Galaxy A03 et A03 Core.
La plupart des téléphones Android vendus aux États-Unis utilisent des chipsets Qualcomm, certains téléphones économiques utilisant à la place du silicium MediaTek moins cher. Mais dans certaines parties du monde en développement, où 100 dollars représentent beaucoup d’argent, des chipsets encore plus abordables comme ceux fabriqués par UNISOC, basé à Shanghai, détiennent une part de marché importante.
Des listes plus complètes de téléphones utilisant le chipset UNISOC SC9863A sont disponibles ici, ici et ici.
Comment la faille peut être exploitée
Kryptowire était initialement énigmatique quant à l’endroit exact où se situe la vulnérabilité sur le chipset UNISOC et comment un attaquant pourrait l’exploiter. Mais après que nous ayons posé quelques questions spécifiques, un porte-parole de Kryptowire a expliqué que la faille « résidait dans une application préinstallée, créée par UNISOC, qui est livrée avec certains de leurs modèles de système sur puce sur une gamme de fournisseurs Android. dispositifs. »
Cette application UNISOC préinstallée semble avoir des privilèges à l’échelle du système et exécutera les commandes qui lui seront envoyées par d’autres applications, sans authentification.
En envoyant les commandes spécifiques à l’application UNISOC, une application malveillante téléchargée par l’utilisateur du téléphone, ou une application installée par un fabricant de combinés ou un opérateur sans fil avant que le téléphone n’atteigne l’utilisateur, pourrait prendre le contrôle du téléphone.
« La faille ne peut pas être exploitée complètement à distance (sauf si elle est directement exposée à Internet sans NAT [a routing protocol]), bien qu’il ne nécessite aucune interaction de l’utilisateur au-delà du téléchargement d’une application », nous a dit Kryptowire.
« Il est théoriquement possible qu’une application préinstallée distincte utilisée dans un scénario d’attaque de la chaîne d’approvisionnement exploite la vulnérabilité à distance. »
Que faire à ce sujet
L’installation de l’une des meilleures applications antivirus Android peut empêcher le téléchargement d’une application malveillante, mais elle peut ne pas être aussi efficace contre une application malveillante qui était déjà sur le téléphone.
Qu’il suffise de dire que si vous avez l’un de ces téléphones, contactez le fabricant du téléphone et votre opérateur de téléphonie mobile et demandez-leur s’ils ont fait quelque chose à propos de cette faille. Si ce n’est pas le cas, arrêtez d’utiliser le téléphone jusqu’à ce qu’ils le fassent.
Si vous avez besoin d’un combiné de remplacement, vous pouvez choisir un appareil dans notre liste des meilleurs téléphones économiques, bien que la plupart coûtent un peu plus de 100 $.
Un porte-parole de Kryptowire nous a dit que Nokia avait corrigé la faille sur ses téléphones concernés, et que l’opérateur de téléphonie mobile multinational basé en France Orange l’avait également fait.
Ils ont ajouté que Kryptowire avait informé l’UNISOC, les fabricants de combinés et les opérateurs de téléphonie mobile de la faille en décembre 2021, et que l’UNISOC n’avait pas encore répondu.