Une porte dérobée sur les téléphones Xiaomi

BenjaminWalewski le samedi 17 septembre 2016 à 17:05:57

Une porte dérobée sur les téléphones Xiaomi

Xiaomi a-t'il installé un backdoor sur ses smartphones ? C'est ce que pense un étudiant ayant analysé le Mi4.

(CCM) — Comme la vaste majorité des constructeur de smartphones, le fabricant chinois Xiaomi, très populaire en Europe, propose ses téléphones avec une surcouche logicielle maison incluant ses propres applications. Mais l'une d'entre elle pourrait être une porte dérobée permettant à Xiaomi d'installer silencieusement et à distance n'importe quel programme sans autorisation.

Thijs Broenink est étudiant en science informatique néerlandais et il possède un Xiaomi Mi4. En analysant son téléphone, il s'est aperçu qu'une application appelée AnalyticsCore.apk fonctionnait en permanence en tâche de fond, revenait lorsqu'on la supprimait, et que sa présence n'avait pas d'explications précises.

Par curiosité, l'étudiant a décortiqué l'application et s'est aperçu qu'elle cherchait des éventuelles mises à jour d'une appli Analytics sur les serveurs de Xiaomi mais envoyait également de nombreuses données comme le code IMEI, l'adresse MAC, la signature et la liste des paquets installés. Le problème ? Aucune vérification n'est faite à l'installation d'une mise à jour. Ce qui signifie que Xiaomi peut potentiellement installer une application sur votre téléphone si elle s'appelle Analytics.apk.

Mieux encore, Thijs Broenink s'est aperçu que la connexion au serveur de Xiaomi se faisait en HTTP. Une connexion assez peu sécurisée pouvant être piratée rapidement par des hackers expérimentés. Par exemple, en remplaçant la requête quotidienne pour faire télécharger un malware ou une application corrompue. Sur son blog (lien en anglais), l'étudiant détaille sa découverte et suggère de bloquer les accès aux serveurs de Xiaomi.

Contacté par le site The Hacker News (lien en anglais), un porte-parole de Xiaomi ne nie pas la présence de l'application incriminée et explique qu'elle est présente à des fins d'analyses visant à améliorer l'expérience utilisateur. Le porte-parole ajoute par ailleurs que des hackers ne pourraient pas exploiter ce système, car le système d'exploitation doit vérifier la signature d'une mise à jour avant de l'installer.

La nouvelle n'est guère rassurante pour la vie privée des utilisateurs, mais aussi quand on sait que le système de mise à jour de Xiaomi avait été hacké le mois dernier...

Photo : © N Azlin Sha- Shutterstock.com


Ajouter un commentaire

Commentaires

Ajouter un commentaire