Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO arată într-un articol recent publicat pe site-ul său cum datele utilizatorilor ce folosesc dispozitive cu Android sunt trasmise fără consimţământul deţinătorilor. “Compania de securitate Kryptowire a identificat dispozitive mobile BLU care conţin firmware ce colectează date personale sensibile despre utilizatori şi le transmite către anumite servere, fără consimţământul deţinătorilor acelor terminale mobile.
Descriere
Terminalele afectate transmit în mod activ informaţii despre dispozitiv, inclusiv mesaje text, lista de contacte, istoricul apelurilor, coduri de identificare de tipul International Mobile Subscriber Identity (IMSI) sau International Mobile Equipment Identity (IMEI).
Firmware-ul viza anumiţi utilizatori şi mesaje text prin corelarea unor cuvinte cheie definite de la distanţă. Totodată, se permitea colectarea şi transmiterea informaţiilor despre folosirea aplicaţiilor instalate pe dispozitivul monitorizat, evitând modelul de permisiuni creat de Android.
Mai mult, se puteau executa comenzi de la distanţă cu privilegii de sistem, prin intermediul backdoor-ului putându-se chiar reprograma de la distanţă acele dispozitive afectate.
Procesul de colectare a datelor varia de la un interval de 24 de ore, la unul de 72, în funcţie de caz. Spre exemplu, transmiterea datelor referitoare la mesajele text şi registrul convorbirilor utilizatorului se făcea odată la 72 de ore, iar la fiecare 24 de ore pentru alte date personale. Informaţiile erau transmise către următoarele servere:
· bigdata.adups.com
· bigdata.adsunflower.com
· bigdata.adfuture.cn
· bigdata.advmob.cn
Firmware-ul livrat împreună cu dispozitivele mobile şi actualizările ulterioare permiteau instalarea de la distanţă a oricăror aplicaţii fără consimţământul utilizatorilor şi, în cazul anumitor versiuni ale software-ului, dispozitivul putea fi localizat cu precizie.
Majoritatea activităţilor de monitorizare au avut loc prin intermediul unei actualizări de software – Firmware Over The Air (FOTA) – care a fost livrat împreună cu modelele de terminale mobile testate de către Kryptowire. Aceste actualizări erau gestionate de către compania Shanghai Adups Technology Co. Ltd., ale cărei servere sunt localizate în China.
Informaţiile referitoare la dispozitiv şi utilizator au fost colectate în mod automat şi transmise periodic, fără cunoştinţa sau consimţământul proprietarilor acelor modele de terminale mobile. Informaţiile culese au fost criptate şi apoi transmise prin intermediul unor protocoale web securizate către serverele situate în Shanghai.
Deoarece aplicaţia maliţioasă era livrată odată cu dispozitivul, aceasta şi comportamentul generat nu erau detectate de aplicaţiile de tip antivirus pentru dispozitive mobile.
Impact
Aceste dispozitive au fost achiziţionate prin intermediul unor magazine online extrem de populare în SUA, precum Amazon sau Best Buy. Backdoor-ul rezidă în firmware-ul instalat pe dispozitivele BLU Android, acesta fiind furnizat ca serviciu pentru BLU de către AdUps (Shanghai Adups Tehnology).
În luna septembrie 2016, compania AdUps a susţinut pe site-ul său că ar avea o prezenţă globală, cu peste 700 milioane de utilizatori activi şi un market share de peste 70% în peste 150 de ţări. Compania are puncte de lucru în Shanghai, Shenzen, Beijing, Tokyo, New Delhi sau Miami. Acelaşi site susţine că produce firmware ce este integrat de peste 400 de operatori mobili, furnizori de semiconductoare sau producători de dispozitive mobile, maşini sau televizoare.
Aşa cum am menţionat în debutul alertei, acest tip de software a fost depistat pe smartphone-ul Blu R1 HD, care a devenit extrem de popular datorită preţului mic de achiziţie (50$). Preţul terminalul era unul modic deoarece era subvenţionat prin reclame şi era vândut exclusiv prin intermediul magazinului online american Amazon.
Remediere
Compania Kryptowire a informat Google, Amazon, Blu şi AdUps despre această problemă. Dintre acestea, Blu şi Amazon au reacţionat rapid la dezvăluirea problemei. Blu a lansat o actualizare a sofware-ului care aparent rezolvă „potenţiale probleme de securitate” ce afectau aproximativ 120.000 de dispozitive. Mai mult, Blu R1 HD a fost scos din oferta Amazon, compania americană anunţând totodată clienţii că aceste dispozitive vor primi un update în cel mai scurt timp.
De partea cealaltă, AdUps a avut o atitudine defensivă, specificând că respectivele date nu ajung sub nici o formă în posesia guvernului chinez. Conform documentului înaintat de AdUps pentru explicarea situaţiei, compania susţinea că versiunea de software care colecta şi transmitea informaţii era destinată unor producători chinezi care doreau să monitorizeze comportamentul utilizatorilor. Cu alte cuvinte, nu era menit pentru dispozitivele comercializate în Statele Unite. Mai precis, acele telefoane au ajuns pe piaţa americană dintr-o neînţelegere.
Deşi atât AdUps cât şi Blu au luat cunoştinţă de problemă, există posibilitatea ca acest backdoor să îşi continue activitatea pe terminale mobile inteligente care folosesc software-ul FOTA. CERT-RO recomandă utilizatorilor să cerceteze dacă smartphone-ul personal conţine un astfel de software. Realizaţi acest lucru prin verificarea prezenţei următoarelor fişierele cu extensia .apk, pe terminal: om.adups.fota şi com.adups.fota.sysoper”.