Ce n'est pas un simple bloatware mais aux dires de la société de sécurité réseau Palo Alto Networks une véritable porte dérobée. Son équipe d'analyse des menaces a mis au jour la pré-installation de CoolReaper sur des terminaux mobiles Android de Coolpad. Ce groupe chinois est le troisième plus grand fabricant de smartphones dans l'Empire du Milieu et le sixième au monde.
Les chercheurs en sécurité ont eu la puce à l'oreille après des plaintes d'utilisateurs repérés sur des forums. Ils ont alors téléchargé 77 ROMs utilisées par Coolpad avec des smartphones vendus en Chine pour y découvrir dans 64 d'entre elles ce qu'ils ont donc qualifié de backdoor. Au moins vingt-quatre modèles seraient ainsi concernés et potentiellement plus de 10 millions d'utilisateurs.
CoolReaper peut télécharger, installer ou activer des applications Android sans notification ou consentement de l'utilisateur. Palo Alto Networks évoque également la possibilité d'effacer des données, la désinstallation d'applications existantes ou d'applications système.
Cela fait déjà beaucoup et ce n'est pas tout. Toujours d'après la société de sécurité, CoolReaper peut pousser en OTA une fausse mise à jour, envoyer ou insérer des SMS arbitraires, transmettre à un serveur des informations sur le terminal (y compris la localisation, l'historique des appels et SMS).
Pour Palo Alto Networks, c'est Coolpad qui contrôle lui-même la backdoor et pour preuve un serveur Coolpad vers lequel des données sont renvoyées. Tirer la conclusion d'une intention malveillante est à ce stade impossible. Mais problème, Palo Alto Networks a aussi découvert des vulnérabilités dans la backdoor, ce qui pourrait permettre à des attaquants réellement mal intentionnés de prendre le contrôle au nez et à la barbe de Coolpad.
Actuellement, l'impact de CoolReaper semble se cantonner à la Chine et Taïwan mais Palo Alto Networks n'exclut pas une extension à d'autres marchés dans le monde et a alerté l'équipe de sécurité Android de Google.
Un porte-parole de Coolpad a indiqué à Bloomberg que suite à une notification de Google ce mois-ci, il y a eu une mise à jour logicielle mais pour répondre à des obligations de compatibilité pour Android. Il écarte l'idée d'une backdoor.
