Muni de mon téléphone français: un superbe Wiko, qui résiste à peu près à tout retournement face contre terre (increvable ce téléphone).
Je me disais en toutes innocences qu’il était sécurisé, au moins par la rareté des téléphones se retrouvant en circulation et par conséquent le peu de faille qui sera découvert… mais que nenni…
Résumé de l'affaire:
Respectivement le 21 novembre 2017 et 28 novembre 2017
<Thread> Hi @OnePlus 👋! How are you today? Let's talk about the OPBugReportLite found in your phone.⁰This app is a pre-installed system app which sends silently, every 6 hours, the battery stats, kernel panics, watchdogs, ANRs and all crashes of your device to Singapore.
— Elliot Alderson (@fs0c131y) November 21, 2017
Les tweet du compte Twitter d’Elliot Alderson (@fs0c131y), en référence au hacker de l’excellente série « Mr Robot », me rendit livide par la sécurité qui est tous simplement null et par manquement totale de la notion vie privée par la société "Française", appelé Wiko. Suite à cela j’ai appris, par des recherches et de nombreux articles dû aux scandales, que Wiko n’est simplement qu’une façade de Tinno, une société chinoise (sous-filiale à 95%). *Et dire que j’avais choisi un Wiko, car TF1 avait dit que c’était une marque 100% Française… **BREF***<Thread> Hi @WikoMobile 👋! Let's talk about the Wiko Freddy phone.
— Elliot Alderson (@fs0c131y) November 28, 2017
This phone was released October 2016 and is now selling for 99.99€.
Because of the @WikoMobile and Tinno negligence, I'll show you how your data can be stolen even if your phone is protected by a lock screen. 1/ pic.twitter.com/No2E0DJ2wu
1er leak:
Dans la 1er leak, on apprend que l’entreprise Tinno envoie à intervalle régulier des données personnelles, non anonymisé, sur un serveur chinois, pour une utilisation peut-être frauduleuse. Sachant que l’on ne peut PAS refuser la collecte de données :s … très problématique, tout de même.
On sait déjà également que le téléphone récolte nombre de donnés type géolocalisation, etc.
-> J’ai déjà tout de suite eu envie de jeter le téléphone par la fenêtre, étant un grand partisan du droit à la vie privée. Mais après réflexion peut-être tous simplement rooté le téléphone suffira largement.
2ᵉ leak:
Une semaine plus tard, Elliot nous apprendra par la suite que le téléphone est, logiciellement parlant, accessible à n’importe qui et que rien n’empêche un hacker de récupérer la totalité des informations contenues dans le téléphone, une fois l’appareil en main.
Pour le pire… ou peut-être pas...
En effet, grâce à ces informations, il est possible de déverrouiller le téléphone comme un jeu d’enfant et il est également possible de le rooter par la même occasion. Il suffisait donc de demander pour donc être servi d'une porte d'entrée grande comme l'arc de triomphe.
Je vais dans une série d'articles essayer de cracker et de porter lineageOS sur mon téléphone.
Mais avant cela regardons les spécificitées du Wiko lié au leak:
(c'est un résumé des tweets d'Elliot)
Spécificité Wiko:
Elle marche pour mon Raimbow lite 4G, mais pas seulement. Testé le sur votre téléphone, au cas où… ça ne peut pas lui faire de mal.
- Après avoir débloqué les options avancées (développeur), avec les instructions disponibles sur cette page par exemple: 1er parti.
- Lancé une console ADB.
- Faites un "adb devices" pour vérifier que votre téléphone est bien détecté.
- Exécuté la commande "adb shell setprop persist.tinno.debug 1"
- Puis pour terminer faites un "adb root", pour avoir officiellement un contrôle total de votre téléphone.
Une fois cela fait vous pourrez suivre cet autre article qui permet de rooté manuellement votre Android.(Pour n’importe quel périphérique)
