Une vingtaine de failles touchent les smartphones de la marque Xiaomi
Pas moins de 20 failles ont été découvertes au cœur des applications et des composants développés par Xiaomi.
Les chercheurs d’Oversecured ont mis le doigt sur une vingtaine de failles présentes dans les applications et les composants système de Xiaomi. HyperOS et MIUI sont touchés ainsi que les composants logiciels indispensables au fonctionnement de l’interface.
L’app Galerie, la boutique Getapps (l’ancienne Xiaomi Market), le lecteur Mi Video, l’app réglages ou encore ShareMe, l’outil qui permet d’échanger facilement des fichiers sont concernés. Mais aussi MIUI Bluetooth, les services téléphoniques, le gestionnaire d’impression, Xiaomi Cloud, et la section de sécurité consacrée à la protection de l’appareil et des données de l’utilisateur pour les composants. Si ces failles viennent à être exploitées, les hackers auraient donc la possibilité d’exécuter du code de façon arbitraire. En résumé, il sera facile de lancer des logiciels malveillants, téléchargés depuis des serveurs distants, à l’insu des mécanismes de sécurité d’Android. Ces brèches offrent également un accès aux composants du système qui disposent de droits étendus. L’accès non autorisé à ces éléments avec des privilèges élevés peut permettre à un cyberpirate de contrôler des fonctions importantes du système ou de récupérer des données sensibles.
Ces failles peuvent donc déboucher sur de nombreuses cyberattaques. Couplées à d’autres vulnérabilités, dont celles découvertes régulièrement dans des applications Android, elles mettent l’intégralité de la vie numérique des utilisateurs en danger. Un malware, téléchargé via le Play Store ou une boutique alternative, pourra par exemple s’appuyer sur ces brèches pour s’attaquer à des applications bancaires. De nombreux logiciels malveillants cherchent à infiltrer le compte en banque des utilisateurs par le biais de leur téléphone.
Dans l’attente d’un correctif
Comme le rapporte Oversecured, le problème provient du SDK (Software Development Kit) commun à plusieurs applications de Xiaomi. D’autre part, une vulnérabilité de l’application Bluetooth MIUI permet d’intercepter des fichiers échangés. On trouve une faille analogue dans l’application Paramètres. Elle permet de dérober des données concernant les appareils Bluetooth, les réseaux Wi-Fi connectés et les contacts d’urgence.
Oversecured indique avoir alerté Xiaomi. Le constructeur ne précise pas si les failles repérées ont été corrigées, mais on peut s’attendre au déploiement d’un correctif. Il est donc bon de rappeler qu’il est important de veiller à ce que votre appareil dispose de la dernière mise à jour.
Source : 01Net