Xiaomi épinglé pour les mises à jour non sécurisées de ses smartphones

La branche sécurité d’IBM signale avoir découvert une faille de sécurité dans la façon dont les smartphones édités par Xiaomi procèdent à la mise à jour de leurs applications par défaut. Comme l’explique les chercheurs sur leur blog, cette faille de sécurité affectait MIUI, la version maison d’Android distribuée par Xiaomi sur ses téléphones. La vulnérabilité a été signalée en janvier à Xiaomi par les équipes d’IBM, qui l’ont depuis corrigée. Celle-ci permettait à un attaquant de modifier les mises à jour des applications proposées par défaut par MIUI et donc d’exécuter du code potentiellement malveillant en profitant d’un niveau de privilège élevé.

IBM explique ainsi avoir identifié une vulnérabilité au sein de l’outil utilisé par Xiaomi pour vérifier les mises à jour de plusieurs applications proposées par défaut sur MIUI. Le logiciel de mise à jour se contente de vérifier via http que la version installée sur le téléphone est bien la dernière version à jour en interrogeant un serveur chez Xiaomi, qui lui répond en lui envoyant l’identifiant de la dernière version de l’application à jour et un lien vers le fichier apk contenant l’éventuelle mise à jour.

Malheureusement, IBM a découvert que l’ensemble de cet échange qui a lieu plusieurs fois par jour entre le smartphone et les serveurs de Xiaomi se déroule en clair. Il n’est donc pas impossible pour un attaquant d’envisager un scenario de type man in the middle où il intercepterait la requête et la modifierait pour forcer l’application en question à télécharger une mise à jour malicieuse et à exécuter du code sur la machine de la cible.

Une faille simple qui a depuis été corrigée par Xiaomi. Ce type de transaction entre les applications et les serveurs de mises à jour doivent en effet être protégés par un chiffrement TLS pour éviter que des attaquants ne puissent abuser de ce système pour compromettre le terminal. IBM note que ce vecteur d’attaque avait déjà été identifié par le passé sur d’autres smartphones de chez Samsung. Sur les PC, plusieurs constructeurs ont également été épinglés pour avoir insuffisamment sécurisé les mécanismes de mise à jour des applications proposées par défaut.

Go to Source


bouton-devis