Samsung Galaxy Backdoor

Décidément, les attaques sur les téléphones mobiles sous Androïd fleurissent en ce début de printemps. Une porte dérobée (backdoor) vient d’être découverte par Paul Kocialkowski, développeur du système d’exploitation Replicant os. Cette porte ouverte donne accès à l’ensemble des fichiers et actions sur les Nexus S, Galaxy S, Galaxy S2, Galaxy Note, Galaxy Tab 2, Galaxy S 3, et Galaxy Note 2.

Voici la traduction de l’article de Paul Kocialkowski :

Le Développeur de Replicant OS, Paul Kocialkowski a découvert une porte dérobée à l’intérieur de la gamme des téléphones et tablettes Galaxy qui permet l’accès aux fichiers sur le stockage du mobile.
Android est le système d’exploitation open source le plus répandu , mais étant un projet ouvert, il y a plusieurs versions qui s’exécutent sur ​​des appareils mobiles .
Presque tous les fabricants de téléphone mobile commercialisent ces appareils avec une version de l’OS Android qui inclut son composant logiciel , l’application pré- installée et les réglages d’usine .
Samsung , par exemple , offre une version personnalisée d’Android qui inclut certains logiciels propriétaires pré-installés , mais personne n’a la possibilité d’analyser en détail les composants ajoutés à un processus de révision du code efficace . Les composants pré- installés peuvent inclure une porte dérobée pour espionner les utilisateurs ou pour obtenir à distance le contrôle complet de l’appareil.

Sur le système d’exploitation Replicant, qui est un système d’exploitation open source basé sur Google Android , et est disponible pour plusieurs smartphones et  tablettes , ils remplacent tous les éléments propriétaires d’ Android par leurs homologues de logiciels libres .

Le développeur du système d’exploitation  open source Replicant , Paul Kocialkowski , a découvert une porte dérobée pré-installé sur les appareils Samsung Galaxy et le Nexus S qui permet d’accéder à distance à toutes les données de l’appareil.

La Famille Samsung Galaxy
Le chercheur a révélé que de nombreux appareils Samsung sont touchés par cette faille , y compris le Nexus S , Galaxy S , Galaxy S2 , Galaxy Note , Galaxy Tab 2 , Galaxy S 3 et Galaxy Note 2 .

Comme le souligne le blog , les téléphones modernes sont équipées de deux processeurs distincts , un processeur d’application à usage général qui exécute le système d’exploitation principal et un autre composant en charge de la communication avec le réseau de téléphonie mobile .
Le Processeur du modem est généralement ciblé par des attaquants car il fonctionne toujours un système d’exploitation propriétaire , et la présence d’ une porte dérobée permet à des activités de surveillance à distance.

“ Les téléphones d’aujourd’hui sont livrés avec deux processeurs distincts : l’un est un processeur d’applications à usage général qui exécute le système d’exploitation principal , par exemple, Android , l’autre , connu sous le modem , bande de base , ou de la radio , est en charge de la communication avec le réseau de téléphonie mobile . Ce processeur fonctionne toujours sur un système d’exploitation propriétaire , et ces systèmes sont connus pour avoir des backdoors qui permettent de convertir à distance du modem dans un dispositif d’espionnage à distance . L’ espionnage peut impliquer l’activation du microphone de l’ appareil, mais il pourrait également utiliser la position GPS précise de l’appareil et accéder à la caméra , ainsi que les données utilisateur stockées sur le téléphone . En outre , les modems sont connectés la plupart du temps au réseau de l’opérateur , ce qui rend les portes dérobées presque toujours accessibles ” .

Paul Kocialkowski a découvert que le protocole d’un Samsung IPC fonctionne en fond de tâche avec le processeur de communication qui permet au composant de modem à distance de lire le stockage du téléphone de l’utilisateur . Samsung protocole IPC permet de lire, écrire et supprimer des fichiers de mise en œuvre d’une classe de requêtes ( commandes RFS ) pour exécuter à distance opérations I / O(entrées-sorties) sur le stockage du téléphone .

” Nous avons découvert que le logiciel propriétaire en cours d’exécution sur le processeur d’applications en charge de gérer le protocole de communication avec le modem met effectivement en œuvre une porte dérobée qui permet au modem d’effectuer sur les fichiers des actions à distance : des opérations d’entrées-sorties sur le système de fichiers . Ce programme est livré avec les appareils Samsung Galaxy et permet pour le modem de lire, écrire et supprimer des fichiers sur le stockage du téléphone . Sur plusieurs modèles de téléphone , ce programme s’exécute avec les droits suffisants pour accéder et modifier les données personnelles de l’utilisateur .Une description technique de la question , ainsi que la liste des appareils concernés connus est disponible sur le wiki Replicant . ” Précise le blog .

Nous ne pouvons pas démontrer que la porte dérobée a été spécialement conçue , ni qu’elle aurait été placé là à tort , mais dans les deux cas la vie privée de l’utilisateur est exposée à un risque .
” Les messages incriminés RFS du protocole Samsung IPC n’ont pas été trouvés pour avoir une légitimité particulière,  ni en cas d’utilisation pertinents .
Cependant , il est possible que ceux-ci ont été ajoutés à des fins légitimes , sans l’intention de faire du mal en fournissant une porte dérobée . ” Cependant , certains messages RFS du protocole Samsung IPC sont légitimes ( IPC_RFS_NV_READ_ITEM et IPC_RFS_NV_WRITE_ITEM ) car ils ciblent un fichier très précis , connu sous le nom des données de NV du modem ” . à ajouté le chercheur .

Replicant a publié un . Patch correctif ‘0001 – modem_if – Inject – et – interception – RFS- IO – messages -à- pe » pour votre smartphone Samsung , qui remplace la bibliothèque légitime Samsung – RIL .

Kocialkowski encourage également les propriétaires de Samsung Galaxy de faire appel publiquement à Samsung Mobile pour une explication .

Affaire à suivre…