Une vingtaine de failles de sécurité mettent en danger les utilisateurs d’un smartphone Xiaomi. Ces vulnérabilités, identifiées dans les apps et composants développés par la firme chinoise, permettent d’orchestrer une foule de cyberattaques.
Les chercheurs d’Oversecured ont découvert jusqu’à 20 failles de sécurité au sein des applications et des composants système de Xiaomi. Ces vulnérabilités sont présentes dans les applications par défaut des surcouches Android de la marque, HyperOS et MIUI, et dans les composants logiciels indispensables au fonctionnement de l’interface.
Parmi les applications concernées, on trouve l’app Galerie, la boutique Getapps (l’ancienne Xiaomi Market), le lecteur Mi Video, l’app réglages ou encore ShareMe, l’outil qui permet d’échanger facilement des fichiers. Du côté des composants du système, Oversecured cite MIUI Bluetooth, les services téléphoniques, le gestionnaire d’impression, Xiaomi Cloud, et la section de sécurité consacrée à la protection de l’appareil et des données de l’utilisateur.
À lire aussi : Xiaomi collecte la liste de tous les sites Web que vous visitez sur ses smartphones
Une portée d’entrée pour les pirates
Exploitées par des cybercriminels, les failles peuvent d’abord permettre d’exécuter du code arbitrairement à distance. En clair, un attaquant pourra lancer des logiciels malveillants, téléchargés depuis des serveurs distants, à l’insu des mécanismes de sécurité d’Android. Les vulnérabilités offrent aussi un accès aux composants du système qui disposent de droits étendus. L’accès non autorisé à ces éléments avec des privilèges élevés peut permettre à un cyberattaquant de contrôler des fonctions critiques du système ou d’obtenir des données sensibles.
In fine, les brèches ouvrent la voie à une myriade de cyberattaques différentes. Couplées à d’autres vulnérabilités, dont celles identifiées récemment dans des applications Android, elles mettent l’intégralité de la vie numérique des usagers en péril. Un malware, téléchargé via le Play Store ou une boutique alternative, pourra par exemple s’appuyer sur ces vulnérabilités pour s’attaquer à des applications bancaires. De nombreux logiciels malveillants cherchent en effet à pénétrer dans le compte en banque des utilisateurs par le biais de leur téléphone.
Un problème de SDK
Le rapport d’Oversecured détaille l’existence d’un problème de SDK (Software Development Kit) commun à plusieurs applications de Xiaomi. Apparemment, une des brèches était directement présente dans le kit de développement des apps destiné aux développeurs.
« Un attaquant peut lancer n’importe quelle fonctionnalité potentiellement sensible dans toutes les applications installées sur l’appareil de l’utilisateur », détaille Oversecured.
Par ailleurs, une vulnérabilité de l’application Bluetooth MIUI permet d’intercepter des fichiers échangés. On trouve une faille analogue dans l’application Paramètres. Elle permet de voler des données concernant les appareils Bluetooth, les réseaux Wi-Fi connectés et les contacts d’urgence.
Oversecured explique avoir alerté Xiaomi au sujet des vulnérabilités identifiées. Le constructeur chinois ne précise pas si les failles repérées ont été corrigées, mais on peut s’attendre au déploiement d’un correctif. Comme toujours, on vous recommande donc d’installer consciencieusement toutes les mises à jour sur votre smartphone Android.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Oversecured