Des décodeurs TV infectés par des logiciels malveillants sont vendus en ligne sur Amazon et d’autres revendeurs, et l’Electronic Frontier Foundation souhaite que la Federal Trade Commission y mette un terme.
« Des rapports récents ont révélé que divers modèles de décodeurs et d’appareils mobiles Android TV vendus par les revendeurs Amazon, AliExpress et d’autres petits fournisseurs incluent des logiciels malveillants avant le point de vente », a écrit l’EFF mardi dans une lettre au FTC.
« Il s’agit notamment des logiciels malveillants inclus dans les appareils des fabricants chinois AllWinner et RockChip », poursuit la lettre. « Nous appelons la FTC à utiliser son pouvoir… pour sanctionner les revendeurs d’appareils largement connus pour contenir des logiciels malveillants nuisibles. »
L’EFF a révélé en mai que plusieurs modèles de décodeurs – AllWinner T95, AllWinner T95Max, RockChip X12-Plus et RockChip X88-Pro-10 – avaient été infectés dès le départ par des logiciels malveillants de la famille BrianLian. « Il a été largement rapporté que ces appareils contenaient des logiciels malveillants, et Amazon et d’autres les rendaient toujours disponibles », a déclaré Bill Buddington, technologue principal de l’EFF.
« Nous voulions voir les revendeurs retirer les appareils et s’assurer que leurs clients sont protégés », a-t-il déclaré à TechNewsWorld. « Malheureusement, ce n’est pas ce que nous avons constaté, et nous avons pensé qu’il était temps d’en parler aux organismes de réglementation. »
La porte-parole de la FTC, Julianna Gruenwald Henderson, a déclaré que l’agence n’avait aucun commentaire sur la lettre.
« La sécurité est de la plus haute importance pour Amazon », a déclaré le porte-parole Adam Montgomery à TechNewsWorld. « Nous travaillons pour en savoir plus sur ces résultats et prendrons les mesures appropriées si nécessaire. »
Boîtes infectées par des logiciels malveillants : passerelle vers la fraude au clic
Dans sa lettre, l’EFF a expliqué que les appareils, une fois allumés et connectés à Internet pour la première fois, commenceront immédiatement à communiquer avec les serveurs de commande et de contrôle du botnet. À partir de là, les appareils se connectent à un vaste réseau de fraude au clic. Tout cela se produit en arrière-plan de l’appareil, à l’insu de l’acheteur.
« Nous pensons que les revendeurs de ces appareils portent une certaine responsabilité dans l’ampleur de cette attaque et dans leur incapacité à créer un moyen fiable permettant aux chercheurs de les informer de ces problèmes », a écrit l’EFF.
Il a noté que le chercheur en sécurité Daniel Milisic, qui a mené des recherches approfondies et publié ses conclusions sur les logiciels malveillants infectant les appareils, a mentionné qu’il était difficile, voire impossible, de contacter Amazon et de signaler le problème.
Il a ajouté que l’EFF avait également contacté Amazon, mais que les produits étaient toujours disponibles.
« Bien qu’il ne soit pas pratique pour les revendeurs d’effectuer des audits de sécurité complets sur chaque appareil qu’ils mettent à disposition », indique la lettre, « ils devraient retirer ces appareils du marché une fois qu’il est révélé et confirmé qu’ils contiennent des logiciels malveillants nuisibles ».
Exposition juridique pour les consommateurs ignorant les logiciels malveillants
L’EFF a averti que les consommateurs possédant des appareils infectés pourraient être confrontés à des risques juridiques.
« Ces appareils mettent les acheteurs en danger non seulement par la fraude au clic à laquelle ils participent régulièrement, mais aussi par le fait qu’ils facilitent l’utilisation des connexions Internet des acheteurs comme proxy pour les fabricants de logiciels malveillants ou ceux auxquels ils vendent l’accès », explique la lettre. .
« Cela signifie que tout acte néfaste commis en utilisant ce proxy semblera provenir de la connexion Internet des acheteurs, les exposant éventuellement à un risque juridique important », poursuit-il. « Cela peut entraîner un préjudice réel pour les acheteurs de ces appareils, présentant un risque inacceptable qui doit être pris en compte. »
L’EFF a appelé la FTC à sanctionner les vendeurs de ces appareils parce qu’ils présentent « un exemple clair de comportement trompeur : les appareils sont annoncés sans divulgation des dommages qu’ils présentent ».
Il a également exhorté la FTC à utiliser son pouvoir de réglementation pour permettre aux clients de signaler plus facilement les appareils compromis, soit directement aux vendeurs d’appareils, soit à la commission elle-même, qui peut alors informer le vendeur et s’assurer qu’il prend des mesures correctives.
Menace croissante des appareils grand public compromis
Les attaques contre la chaîne d’approvisionnement des consommateurs constituent une menace très préoccupante, a noté Gavin Reid, RSSI de Human Security, la société internationale de cybersécurité qui a découvert le réseau de fraude au clic Badbox utilisé par le malware sur les décodeurs empoisonnés.
« Les acteurs malveillants peuvent s’insérer dans la chaîne d’approvisionnement et envoyer des appareils infectés vers des plateformes de commerce électronique et des détaillants de confiance qui peuvent finir entre les mains d’utilisateurs sans méfiance », a-t-il déclaré à TechNewsWorld.
« Les cybercriminels et les fraudeurs sont bien à l’écoute des tendances de consommation et, dans le cas de Badbox, ont pu exploiter les consommateurs qui ont acheté des appareils Android hors marque – des appareils qui n’étaient pas des appareils Android TV OS ou certifiés Play Protect », a-t-il déclaré.
« Les consommateurs sont trompés et deviennent des intermédiaires et hébergent des attaques de cybercriminalité depuis leur domicile ou leur réseau organisationnel », a-t-il ajouté. « Ils autorisent à contrecœur des activités qui semblent provenir directement d’eux. »
Même si les véritables attaques de la chaîne d’approvisionnement contre les appareils grand public sont rares par rapport au nombre d’attaques générales contre les appareils grand public, elles peuvent être dévastatrices, a observé Steve Povolny, directeur de la recherche en sécurité chez Exabeam, une société mondiale de détection, d’enquête et de réponse aux menaces. dont le siège est à Foster City, en Californie.
« Les vulnérabilités traditionnelles sont généralement relativement simples à corriger via des correctifs, des mises à jour de configuration ou des restrictions réseau », a-t-il déclaré à TechNewsWorld.
« Avec les attaques contre la chaîne d’approvisionnement », a-t-il poursuivi, « éliminer le problème peut être un défi beaucoup plus difficile, nécessitant, dans des cas extrêmes, le rappel d’appareils ou même une refonte du matériel ou du micrologiciel ».
Tenez-vous en aux marques connues
Jeannie Warner, directrice du marketing produit chez Exabeam, a déclaré : « La triste vérité est que toute mise à jour de logiciel ou de micrologiciel crée la possibilité d’un problème avec Solarigate, où le site de téléchargement principal peut être piraté et les fichiers binaires modifiés. »
« Pour l’utilisateur final », a-t-elle déclaré à TechNewsWorld, « Google Play et Apple Store effectuent des analyses pour tenter de protéger les logiciels distribués sur leurs sites. La vérité est que n’importe quel système d’exploitation ou système peut être corrompu, n’importe quelle vérification contournée.
« C’est un jeu constant du chat et de la souris entre adversaires et équipes de sécurité, et le jeu va continuer », a-t-elle ajouté.
Reid a indiqué que la meilleure façon pour les consommateurs de se protéger contre les attaques est d’acheter des appareils de marques familières et reconnaissables.
« Même si les grandes marques sont ciblées et peuvent être exploitées par des cybercriminels, ces marques ont tout intérêt à sécuriser leurs appareils longtemps après leur achat et travaillent rapidement pour trouver des solutions pour remédier à toute vulnérabilité de sécurité », a-t-il déclaré.
« Les appareils hors marque, en revanche, peuvent ne pas disposer des ressources nécessaires pour mettre à jour les failles de sécurité ou être difficiles à retracer jusqu’à un fabricant », a-t-il poursuivi.
« Les consommateurs possédant des appareils Android devraient également vérifier si leur appareil est certifié Play Protect », a-t-il ajouté. « Sinon, ils pourraient ne pas être sécurisés et avoir des applications frauduleuses. »