La società di sicurezza Kryptowire ha scoperto una backdoor su certi dispositivi Android low-cost, tra cui gli smartphone prodotti da BLU Products venduti online su Amazon e Best Buy, in grado di inviare una grande quantità di dati personali a server cinesi.
Il comportamento è stato inizialmente individuato sul dispositivo BLU R1 HD e dalla sua analisi i ricercatori hanno potuto verificare l’invio di un ammontare massivo di dati relativi al telefono (l’ International Mobile Subscriber Identity , IMSI e l’ International Mobile Equipment Identity , IMEI), relativi alle app installate ed utilizzate, superando il modello di permessi prescritto da Android, e relativi all’utente (compresi testi interi di messaggi, cronologia delle chiamate e rubrica) a server localizzati in Cina e di proprietà del fornitore di aggiornamenti software, l’azienda Shanghai Adups Technology Co. Ltd.
Tale firmware sarebbe inoltre in grado di prendere di mira specifici utenti e di individuare e inviare messaggi nel quale vengono utilizzate determinate parole chiave , nonché di impartire comandi al dispositivo ottenendo privilegi, fino alla possibilità di riprogrammazione del dispositivo da remoto. In alcune versione del programma permette anche l’invio di specifici dati di geolocalizzazione dell’utente.
Kryptowire ha inoltre confermato che non si tratta di un problema limitato a tale device, ma comune a numerosi modelli Android di fascia bassa che condividono il medesimo firmware in cui è installata la backdoor al momento della produzione: si conferma , così, il “pericolo di fabbrica” già individuato da Palo Alto Networks con la scoperta dell’Operazione CoolReaper nel 2014.
In questo caso si tratta del firmware pensato per l’udpdate Over The Air gestito da Adups, che dagli ultimi dati sembra aver installato i propri software (utili ai produttori per individuare i dispositivi non aggiornati e inviargli il necessario aggiornamento) su più di 700 milioni di dispositivi in tutto il mondo.
Tra i produttori coinvolti figura per il momento BLU Product, che ha riferito di aver già rimosso la backdoor e offerto qualche numero: 120mila i suoi telefoni colpiti dalla backdoor , quindi relativamente pochi.
Adups non ha divulgato la lista di tutti i telefoni coinvolti e non è possibile per gli utenti verificare facilmente se il proprio dispositivo sia colpito: tuttavia l’azienda ha dichiarato che si tratta di un problema limitato ai dispositivi Blu Products , nel cui firmware sono stati inavvertitamente incluse funzionalità per l’individuazione e la rimozione di messaggi di testo e chiamate indesiderate, richiesto da altri clienti Adups.
Claudio Tamburrino