L'US-CERT a alerté au sujet d'un firmware du groupe chinois Ragentek présent dans des smartphones Android et contenant un système de mise à jour OTA qui communique via un canal non chiffré. Cela peut permettre une attaque de type man-in-the-midle, et même une exécution de code arbitraire à distance.
La vulnérabilité a été trouvée dans des smartphones des fabricants BLU Products, Infinix Mobility, Ragentek, Beeline, Doogee, IKU Mobile, Leagoo et Xolo. Elle a été rapportée par des chercheurs en sécurité de BitSight Technologies et Anubis Networks. Plutôt que de rootkit, certains experts en sécurité parlent de backdoor.
D'après Anubis Networks, qui appartient à BitSight Technologies, le code se connecte à trois domaines dont un seul appartient à Ragentek. En s'appuyant sur les deux autres domaines qui n'étaient pas attribués, les chercheurs ont comptabilisé plus de 2,8 millions d'appareils vulnérables à travers 55 modèles différents. Si ces deux domaines étaient tombés dans de mauvaises mains…
Le fabricant américain BLU Products a publié une mise à jour correctrice pour ses terminaux. Les autres fabricants concernés ont également été prévenus. Cela ne va pas arranger le climat de méfiance vis-à-vis des fournisseurs chinois.