Clicky

Xiaomi aurait installé une porte dérobée sur tous ses smartphones

Xiaomi se trouve actuellement au centre d’un nouveau scandale. Le pire de toute son histoire. En fouinant sur son téléphone, un étudiant néerlandais est effectivement tombé sur une étrange application donnant les pleins pouvoirs au constructeur. Le pire reste à venir, car cette fameuse application serait installée sur tous les terminaux sortis de ses usines. Malaise.

Tout a commencé lorsque Thijs Broening a découvert une mystérieuse application baptisée AnalyticsCore sur son Mi4 flambant neuf, une application qui tournait en permanence en tâche de fond.

BackDoor Xiaomi

Xiaomi aurait-il caché une backdoor dans sa ROM ?

Intrigué, il s’est rendu sur les forums du constructeur pour faire quelques recherches, mais elles n’ont malheureusement rien donné. Personne n’avait remarqué la présence de l’outil.

Xiaomi aurait-il intégré une backdoor à sa ROM ?

Faute de mieux, l’étudiant s’est donc retroussé les manches et il a effectué une analyse par rétro-ingénierie en s’appuyant sur un simple décompilateur Java.

Là, il s’est rendu compte que cette application contactait tous les jours les serveurs du constructeur, à la recherche d’une éventuelle mise à jour. Pas terrible, mais ce n’est pas fini, car notre ami s’est aussi rendu compte que cet outil avait la fâcheuse tendance à transmettre pas mal d’informations à Xiaomi.

Des informations comme l’IMEI du terminal, son adresse MAC ou encore le nom du modèle.

En poussant plus loin ses investigations, Thijs s’est aussi rendu compte que l’application n’était pas franchement sécurisée. Elle s’appuyait en effet sur de simples connexions HTTP pour communiquer avec les serveurs de l’entreprise et elle n’effectuait en plus aucune vérification avant d’installer les mises à jour.

Il suffisait donc qu’un hacker intercepte la requête pour qu’il puisse remplacer la mise à jour du constructeur par un autre paquet de son cru. Cette application pouvait donc s’apparenter à une porte dérobée et notre ami n’a évidemment pas attendu longtemps avant d’en parler autour de lui, tout en proposant une solution temporaire pour combler la faille.

Tout va bien… du point de vue de Xiaomi

Une solution reposant sur l’utilisation d’un outil comme AdAway afin de bloquer toutes les connexions faites vers les domaines appartenant au géant chinois.

L’histoire a rapidement pris de l’ampleur et elle a fait la une de tous les médias spécialisés, des médias comme l’incontournable Hacker News. Xiaomi a fini par en entendre parler et le constructeur a publié dans la foulée une déclaration officielle.

D’après lui, AnalyticsCore ne serait pas une porte dérobée, mais un simple composant intégré au système MIUI. Il aurait pour fonction de récolter des données afin d’améliorer l’expérience utilisateur. Un peu plus loin, il précise que la plateforme vérifie systématiquement la signature du fichier APK pour être certaine que le paquet installé soit bien le bon.

En outre, il indique que les dernières versions de MIUI (v.7.3 et plus) utilisent toutes le HTTPS pour prévenir toutes les attaques de type man-in-the-middle.

Rassurant ? Pas complètement, en fait, puisque le constructeur oublie de parler du fait que cette application lui permet aussi d’installer n’importe quel programme à l’insu de l’utilisateur.

Moralité, en attendant d’en savoir plus, il sera peut-être préférable d’appliquer la solution proposée par Thijs.

Mots-clés sécuritéxiaomi

Share this post

Fred

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.

  • Gringo

    adaway qui au passage fait le bonheur de mon smartphone, par contre il faut être root.

  • Marco Leduc

    J’ai un xiaomi Redmi et c’est une horreur : il me propose toutes les 5 minutes d’installer des applis tels que hdtube, superbrowser, maxton et je sais pas quoi d’autres. J’ai d’abord cru à un virus et j’ai réinitialisé l’appareil à 2 reprises mais les problèmes subsistent. En fait, c’est une composante du téléphone et il n’y a aucun moyen de s’en débarasser. A trop vouloir imiter Apple, ils en ont pris les travers mais la qualité est loin d’être au rendez-vous.

    • Asendir

      C’est simplement parce que tu as acheté ton Xiaomi chez un revendeur peut scrupuleux qui t’a installé une rom modifiée non officielle qui t’affiche de la pub et des pop-up et lui fait gagner de l’argent. Ré-initialisé ton téléphone ne changera rien vu que tu restera sur la même rom…ce qu’il faut c’est installer la rom officielle global de en.miui.com

      Ce n’est en aucun cas la faute de Xiaomi si plein de gens comme toi sont incapable de faire la différence entre un système vérolé et la rom officielle.

      • Marco Leduc

        Merci pour le tuyau mais si j’ai longtemps hésité avant d’essayer xiaomi, c’était justement pour éviter les vendeurs peu scrupuleux. En achetant mon tel chez LDLC, je pensais éviter ce genre de situation. Honte à moi de pas avoir fait la différence entre une enseigne qui a pignon sur rue et un escroc.

        • Asendir

          LDLC est un revendeur qui se fournis chez un autre un autre revendeur étant donné que les produit Xiaomi ne sont pas vendu en europe. Mais ils auraient pu faire plus attention je te l’accorde. Xiaomi est une très bonne marque mais il ne faut pas avoir peur d’aller se renseigner sur les forums officiels et de mettre les mains dedans :) Je t’assure néanmoins qu’aucune rom officielle ne contiens de pubs ou autres nuisances.

          • Joseph Mbala

            Cela dit, et même si tu as probablement raison sur le principe, ce n’est pas une raison pour répondre (je parle du premier commentaire) sur un ton aussi dédaigneux. Tout le monde n’est pas expert en firmware/rom. Par la même occasion et puisque tu aimes faire le donneur de leçon, en voilà une : les verbes du troisième groupe prenne un « T » (pas un « S ») à la troisième personne au présent. De rien.