L'US-CERT a alerté au sujet d'un firmware du groupe chinois Ragentek présent dans des smartphones Android et contenant un système de mise à jour OTA qui communique via un canal non chiffré. Cela peut permettre une attaque de type man-in-the-midle, et même une exécution de code arbitraire à distance.

Android sécurité Le comportement du code de Ragentek est assimilé à un rootkit dans la mesure où il est exécuté avec des privilèges root, et que plusieurs techniques sont utilisées pour cacher son exécution. Reste qu'il s'agit essentiellement d'un problème d'implémentation non sécurisée du mécanisme over-the-air pour les mises à jour en rapport avec ce firmware.

La vulnérabilité a été trouvée dans des smartphones des fabricants BLU Products, Infinix Mobility, Ragentek, Beeline, Doogee, IKU Mobile, Leagoo et Xolo. Elle a été rapportée par des chercheurs en sécurité de BitSight Technologies et Anubis Networks. Plutôt que de rootkit, certains experts en sécurité parlent de backdoor.

D'après Anubis Networks, qui appartient à BitSight Technologies, le code se connecte à trois domaines dont un seul appartient à Ragentek. En s'appuyant sur les deux autres domaines qui n'étaient pas attribués, les chercheurs ont comptabilisé plus de 2,8 millions d'appareils vulnérables à travers 55 modèles différents. Si ces deux domaines étaient tombés dans de mauvaises mains…

Le fabricant américain BLU Products a publié une mise à jour correctrice pour ses terminaux. Les autres fabricants concernés ont également été prévenus. Cela ne va pas arranger le climat de méfiance vis-à-vis des fournisseurs chinois.