Xiaomi se trouve actuellement au centre d’un nouveau scandale. Le pire de toute son histoire. En fouinant sur son téléphone, un étudiant néerlandais est effectivement tombé sur une étrange application donnant les pleins pouvoirs au constructeur. Le pire reste à venir, car cette fameuse application serait installée sur tous les terminaux sortis de ses usines. Malaise.
Tout a commencé lorsque Thijs Broening a découvert une mystérieuse application baptisée AnalyticsCore sur son Mi4 flambant neuf, une application qui tournait en permanence en tâche de fond.
Intrigué, il s’est rendu sur les forums du constructeur pour faire quelques recherches, mais elles n’ont malheureusement rien donné. Personne n’avait remarqué la présence de l’outil.
Xiaomi aurait-il intégré une backdoor à sa ROM ?
Faute de mieux, l’étudiant s’est donc retroussé les manches et il a effectué une analyse par rétro-ingénierie en s’appuyant sur un simple décompilateur Java.
Là, il s’est rendu compte que cette application contactait tous les jours les serveurs du constructeur, à la recherche d’une éventuelle mise à jour. Pas terrible, mais ce n’est pas fini, car notre ami s’est aussi rendu compte que cet outil avait la fâcheuse tendance à transmettre pas mal d’informations à Xiaomi.
Des informations comme l’IMEI du terminal, son adresse MAC ou encore le nom du modèle.
En poussant plus loin ses investigations, Thijs s’est aussi rendu compte que l’application n’était pas franchement sécurisée. Elle s’appuyait en effet sur de simples connexions HTTP pour communiquer avec les serveurs de l’entreprise et elle n’effectuait en plus aucune vérification avant d’installer les mises à jour.
Il suffisait donc qu’un hacker intercepte la requête pour qu’il puisse remplacer la mise à jour du constructeur par un autre paquet de son cru. Cette application pouvait donc s’apparenter à une porte dérobée et notre ami n’a évidemment pas attendu longtemps avant d’en parler autour de lui, tout en proposant une solution temporaire pour combler la faille.
Tout va bien… du point de vue de Xiaomi
Une solution reposant sur l’utilisation d’un outil comme AdAway afin de bloquer toutes les connexions faites vers les domaines appartenant au géant chinois.
L’histoire a rapidement pris de l’ampleur et elle a fait la une de tous les médias spécialisés, des médias comme l’incontournable Hacker News. Xiaomi a fini par en entendre parler et le constructeur a publié dans la foulée une déclaration officielle.
D’après lui, AnalyticsCore ne serait pas une porte dérobée, mais un simple composant intégré au système MIUI. Il aurait pour fonction de récolter des données afin d’améliorer l’expérience utilisateur. Un peu plus loin, il précise que la plateforme vérifie systématiquement la signature du fichier APK pour être certaine que le paquet installé soit bien le bon.
En outre, il indique que les dernières versions de MIUI (v.7.3 et plus) utilisent toutes le HTTPS pour prévenir toutes les attaques de type man-in-the-middle.
Rassurant ? Pas complètement, en fait, puisque le constructeur oublie de parler du fait que cette application lui permet aussi d’installer n’importe quel programme à l’insu de l’utilisateur.
Moralité, en attendant d’en savoir plus, il sera peut-être préférable d’appliquer la solution proposée par Thijs.
adaway qui au passage fait le bonheur de mon smartphone, par contre il faut être root.
J’ai un xiaomi Redmi et c’est une horreur : il me propose toutes les 5 minutes d’installer des applis tels que hdtube, superbrowser, maxton et je sais pas quoi d’autres. J’ai d’abord cru à un virus et j’ai réinitialisé l’appareil à 2 reprises mais les problèmes subsistent. En fait, c’est une composante du téléphone et il n’y a aucun moyen de s’en débarasser. A trop vouloir imiter Apple, ils en ont pris les travers mais la qualité est loin d’être au rendez-vous.
Merci pour le tuyau mais si j’ai longtemps hésité avant d’essayer xiaomi, c’était justement pour éviter les vendeurs peu scrupuleux. En achetant mon tel chez LDLC, je pensais éviter ce genre de situation. Honte à moi de pas avoir fait la différence entre une enseigne qui a pignon sur rue et un escroc.
Cela dit, et même si tu as probablement raison sur le principe, ce n’est pas une raison pour répondre (je parle du premier commentaire) sur un ton aussi dédaigneux. Tout le monde n’est pas expert en firmware/rom. Par la même occasion et puisque tu aimes faire le donneur de leçon, en voilà une : les verbes du troisième groupe prenne un “T” (pas un “S”) à la troisième personne au présent. De rien.