Clicky

Xiaomi aurait installé une porte dérobée sur tous ses smartphones

Xiaomi se trouve actuellement au centre d’un nouveau scandale. Le pire de toute son histoire. En fouinant sur son téléphone, un étudiant néerlandais est effectivement tombé sur une étrange application donnant les pleins pouvoirs au constructeur. Le pire reste à venir, car cette fameuse application serait installée sur tous les terminaux sortis de ses usines. Malaise.

Tout a commencé lorsque Thijs Broening a découvert une mystérieuse application baptisée AnalyticsCore sur son Mi4 flambant neuf, une application qui tournait en permanence en tâche de fond.

BackDoor Xiaomi

Xiaomi aurait-il caché une backdoor dans sa ROM ?

Intrigué, il s’est rendu sur les forums du constructeur pour faire quelques recherches, mais elles n’ont malheureusement rien donné. Personne n’avait remarqué la présence de l’outil.

Xiaomi aurait-il intégré une backdoor à sa ROM ?

Faute de mieux, l’étudiant s’est donc retroussé les manches et il a effectué une analyse par rétro-ingénierie en s’appuyant sur un simple décompilateur Java.

Là, il s’est rendu compte que cette application contactait tous les jours les serveurs du constructeur, à la recherche d’une éventuelle mise à jour. Pas terrible, mais ce n’est pas fini, car notre ami s’est aussi rendu compte que cet outil avait la fâcheuse tendance à transmettre pas mal d’informations à Xiaomi.

Des informations comme l’IMEI du terminal, son adresse MAC ou encore le nom du modèle.

En poussant plus loin ses investigations, Thijs s’est aussi rendu compte que l’application n’était pas franchement sécurisée. Elle s’appuyait en effet sur de simples connexions HTTP pour communiquer avec les serveurs de l’entreprise et elle n’effectuait en plus aucune vérification avant d’installer les mises à jour.

Il suffisait donc qu’un hacker intercepte la requête pour qu’il puisse remplacer la mise à jour du constructeur par un autre paquet de son cru. Cette application pouvait donc s’apparenter à une porte dérobée et notre ami n’a évidemment pas attendu longtemps avant d’en parler autour de lui, tout en proposant une solution temporaire pour combler la faille.

Tout va bien… du point de vue de Xiaomi

Une solution reposant sur l’utilisation d’un outil comme AdAway afin de bloquer toutes les connexions faites vers les domaines appartenant au géant chinois.

L’histoire a rapidement pris de l’ampleur et elle a fait la une de tous les médias spécialisés, des médias comme l’incontournable Hacker News. Xiaomi a fini par en entendre parler et le constructeur a publié dans la foulée une déclaration officielle.

D’après lui, AnalyticsCore ne serait pas une porte dérobée, mais un simple composant intégré au système MIUI. Il aurait pour fonction de récolter des données afin d’améliorer l’expérience utilisateur. Un peu plus loin, il précise que la plateforme vérifie systématiquement la signature du fichier APK pour être certaine que le paquet installé soit bien le bon.

En outre, il indique que les dernières versions de MIUI (v.7.3 et plus) utilisent toutes le HTTPS pour prévenir toutes les attaques de type man-in-the-middle.

Rassurant ? Pas complètement, en fait, puisque le constructeur oublie de parler du fait que cette application lui permet aussi d’installer n’importe quel programme à l’insu de l’utilisateur.

Moralité, en attendant d’en savoir plus, il sera peut-être préférable d’appliquer la solution proposée par Thijs.

Mots-clés sécuritéxiaomi

Share this post

Fred

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.