Box Android TV vérolée : les conseils de Google pour identifier les bons modèles
De nombreux boîtiers Android TV vendus en ligne embarquent des logiciels malveillants. Google donne aujourd'hui la marche à suivre pour identifier les modèles fiables qui utilisent son système de vérification Play Protect.
Faites bien attention si vous comptez acheter une box TV Android. Ou si vous possédez déjà une. Ces boîtiers qui se branchent au téléviseur et au réseau local de la maison, en Ethernet ou en Wi-Fi, pour profiter des plateformes de streaming et de bien d'autres services connectés sont très pratiques et très populaires. Dans les grandes boutiques en ligne comme Amazon ou AliExpress, on compte des centaines de modèles disponibles à des prix allant de quelques dizaines d'euros à plus de deux cents euros pour les plus performantes. Tous sont fabriqués en Chine et la plupart des appareils d'entrée de gamme sont produits en marque blanche pour être ensuite commercialisés sous plusieurs noms différents. Problème : peu de vérifications sont effectuées entre la sortie d'usine et la mise en rayon. Ce qui peut réserver parfois de mauvaises surprises. Rattaché au compte Google de l'utilisateur, un tel boîtier possède à sa disposition bon nombre de données sensibles. Or, toutes marques ne sont pas fiables, certaines présentant de réels danger.
C'est ce qu'a constaté Daniel Milisic, preuves à l'appui. Au début de l'année, ce consultant en sécurité canadien, avait remarqué un comportement étrange d'une box Android TV commercialisée sur Amazon et également vendue en France par le géant du commerce en ligne. Ce modèle, Android TV T95 de la marque AllWinner – du nom du circuit principal qui équipe l'appareil – vendu moins de 50 euros – est décliné sous diverses marques plus ou moins fantaisistes, toujours avec un circuit AllWinner. Depuis ses premières investigations, il s'est avéré que ce boîtier n'est pas le seul à présenter un comportement intrigant, invisible aux yeux du commun des utilisateurs, mais dangereux pour la sécurité de ses données et pour celles des autres.
Box Android TV : des modèles infectés en malwares en usine
Lors de la configuration du boîtier tournant sous Android 10.0, Daniel Milisic avait tiqué sur un comportement étrange. En effet, d'emblée le boîtier pouvait accepter les connexions en Ethernet et Wi-Fi via l'Android Debug Bridge (ADB). Une configuration pour le moins inhabituelle réservée en général aux développeurs et permettant d'accéder à distance à des fichiers présents sur l'appareil, de lancer des commandes et d'installer des applications. Le spécialiste en sécurité indiquait qu'il avait initialement acheté cette box pour faire tourner Pi-Hole, une application de blocage de publicité et de contenus indésirables interdisant également l'accès aux sites malveillants. Après l'installation de cet outil, il avait alors remarqué que le boîtier tentait de se connecter à une multitude d'adresses IP associées à des malwares actifs.
Depuis ses premières constatations, Daniel Milisic a poursuivi ses investigations. Il pu mettre en lumière que sa box, infectée par une version dérivée de CopyCat, un malware détecté pour la première fois en 2017 et qui a déjà infecté plus de 14 millions d'appareils Android à travers le monde, se connectait à un botnet. Ce réseau, constitué de centaines ou de milliers de box Android TV également compromises, permet aux pirates de contrôler, en cachette, le comportement des boîtiers pour qu'ils cliquent sur des publicités afin de générer de l'argent. Mais ils pourraient faire bien pire comme voler des données, miner de la cryptomonnaie ou lancer des attaques DDoS (attaques par déni de service) permettant par exemple de faire tomber des serveurs de sites Web ou de paralyser des objets connectés.
Le découvertes de Daniel Milisic ont été conformées par un autre chercheur, Bill Budington de l'Electronic Frontier Fondation (EFF), qui a ainsi pu établir que plusieurs modèles de box Android TV vendus par les géants du commerces américains et chinois adoptent le même comportement. Quatre appareils sont ainsi incriminés – AllWinner T95, AllWiner T95Max, Rockchip X12-Plus et Rockchip X88-Pro-10 –, des références que l'on retrouve sous d'autres noms, avec des circuits signés AllWinner et Rockchip.
Box Android TV : les conseils de Google pour vérifier un boîtier
Il aura fallu quelques mois à Google pour réagir aux découvertes de Daniel Milisic. Il y a quelques jours seulement, le géant américain a publié dans ses pages d'assistance une explication permettant d'éclaircir la situation de ces boîtiers potentiellement dangereux pour la sécurité des utilisateurs. Ainsi, la firme indique que certaines box sont animées par Android Open Source Project. Il s'agit d'une version libre d'Android conçue pour que les développeurs puissent l'adapter et la bidouiller comme bon leur semble. Et Google de préciser que ces boîtiers sont " commercialisés pour apparaître comme des appareils Android TV OS. Certains d'entre eux peuvent également être livrés avec des applications Google et le Play Store qui ne sont pas sous licence de Google, ce qui signifie que ces appareils ne sont pas certifiés Play Protect ". En d'autres termes, il y a tromperie sur la marchandise. Ces box portant l'appellation Android TV n'ont pas de certification de Google et utilisent une version du Play Store, la boutique en ligne d'applis de Google, sans la licence et sans donc le système de protection contre les virus et malware Play Protect qui garantit que les applis téléchargées ont été testées et validées par Google. Résultat, le boîtier est capable de télécharger tout et n'importe quoi sans que l'utilisateur n'en soit averti.
Aussi, pour y voir plus clair, la firme a dressé la liste des partenaires avec lesquels elle travaille et qui respectent les fameuses les politiques strictes en matière de sécurité et de confidentialité qu'elle a définies (rendez-vous au bas de la page pour obtenir la liste complète). On y trouve par exemple des marques comme Xiaomi, Anker ou encore Thomson. Par ailleurs, Google invite les utilisateurs ayant un doute sur le matériel à procéder à une vérification assez simple consistant à s'assurer que la version du Play Store en place profite bien de la certification Play Protect. Pour cela, il suffit d'ouvrir le Play Store sur le boîtier Android TV. Appuyez sur l'icône de votre profil puis sur Play Protect. Une coche verte doit alors apparaître pour indiquer que l'appareil bénéficie de la certification. Si ce n'est pas le cas, Google vous invite à contacter le fabricant pour qu'il vous fournisse un appareil certifié (bonne chance).
Box Android TV : privilégier les marques connues
Les investigations de Daniel Milisic et de Bill Budington donnent un coup de projecteur sur les dangers que représentent les nombreux boîtiers Android TV de marques inconnues commercialisés à bas prix dans les rayons des grandes boutiques en ligne. Leur micrologiciel peuvent être modifié à n'importe quel moment, aussi bien dans la chaîne de production que dans le circuit de distribution. Un tel boîtier infecté, relié au réseau de la maison et à Internet pourrait siphonner en toute discrétion bon nombre de données personnelles. Si vous souhaitez acquérir un appareil de ce type, il convient donc, si possible, d'opter pour un modèle d'une marque réputée qui ne se contente pas d'apposer son logo et procède à des vérifications. Il vous coûtera probablement un peu plus cher à l'achat, mais vous pourrez l'utiliser l'esprit tranquille.