Box Android TV vérolée : gare aux malwares cachés !

Box Android TV vérolée : gare aux malwares cachés !

Un spécialiste en sécurité canadien a découvert un logiciel malveillant installé dans le micrologiciel d'un boîtier Android TV. Une pratique jusque-là méconnue et qui pourrait bien toucher d'autres modèles. La méfiance s'impose !

Les boîtiers Android TV qui se branchent au téléviseur pour profiter des plateformes de streaming et de bien d'autres services sont très pratiques et très populaires. Dans les grandes boutiques en ligne comme Amazon ou AliExpress, on compte des centaines de modèles disponibles à des prix allant de quelques dizaines d'euros à plus de deux cents euros pour les plus performantes. Tous sont fabriqués en Chine et la plupart des appareils d'entrée de gamme sont produits en marque blanche pour être ensuite commercialisés sous plusieurs nom et marques différents. Problème : peu de vérifications sont effectuées entre la sortie d'usine et la mise en rayon. Ce qui peut réserver parfois quelques surprises comme a pu le constater Daniel Milisic, un consultant en sécurité canadien qui s'est procuré sur Amazon un boîtier Android TV Box de la marque T95, commercialisé également en France par le géant du commerce américain pour un coût modique de moins d'une cinquantaine d'euros.

© Amazon

Box Android TV vérolée : des requêtes vers des serveurs malveillants

Lors de la configuration du boîtier tournant sous Android 10.0, Daniel Milisic a tiqué sur un comportement étrange. En effet, d'emblée le boîtier pouvait accepter les connexions en Ethernet et WiFi via l'Android Debug Bridge (ADB). Une configuration pour le moins inhabituelle réservée en général aux développeurs et permettant d'accéder à distance à des fichiers présents sur l'appareil, de lancer des commandes et d'installer des applications. Le spécialiste en sécurité indique qu'il a initialement acheté cette box pour faire tourner Pi-Hole, une application de blocage de publicité et de contenus indésirables interdisant également l'accès aux sites malveillants. Après l'installation de cet outil, il a alors remarqué que le boîtier tentait de se connecter à une multitude d'adresses IP associées à des malwares actifs.

Les tentatives de connexion de la box aux serveurs malveillants © GitHub/Daniel Milisic

Selon Daniel Milisic, la box est infectée par une version dérivée de CopyCat, un malware détecté pour la première fois en 2017 et qui a déjà infecté plus de 14 millions d'appareils Android à travers le monde. Le spécialiste indique à nos confrères américains du site BleepingComputer avoir trouvé des couches au-dessus des couches de logiciels malveillants mais qu'il n'est pas parvenu à tout retracer, un élément semblant être profondément ancré dans la Rom – la mémoire qui contient  le micrologiciel du boîtier. Pour empêcher la box de communiquer avec des serveurs malveillants et de rapatrier des malwares, Daniel Milisic fournit sur GitHub une méthode pour les utilisateurs avertis.

Box Android TV : privilégier les marques connues

La mésaventure de Daniel Milisic donne un coup de projecteur sur les dangers que représentent les nombreux boîtiers Android TV de marques inconnues commercialisés à bas prix dans les rayons des grandes boutiques en ligne. Leur micrologiciel peuvent être modifié à n'importe quel moment, aussi bien dans la chaîne de production que dans le circuit de distribution. Un tel boîtier infecté, relié au réseau de la maison et à Internet pourrait siphonner en toute discrétion bon nombre de données personnelles. Si vous souhaitez acquérir un appareil de ce type, il convient donc, si possible, d'opter pour un modèle d'une marque réputée qui ne se contente pas d'apposer son logo et procède à des vérifications. Il vous coûtera probablement un peu plus cher à l'achat, mais vous pourrez l'utiliser l'esprit tranquille.

Autour du même sujet