L’application Sécurité préinstallée par l’entreprise chinoise Xiaomi n’était pas sécurisée et laissait le champ libre à quiconque voulait pirater les mobiles de la marque.

La marque chinoise Xiaomi vient d'être confrontée à un problème plus qu'embêtant puisque son app dédiée à la sécurité n'était pas… sécurisée pour un sou. Cette application installée d'office veille notamment à ce que le smartphone ne soit pas infecté par les différents virus qui peuvent traîner çà et là sur Internet.

Connexions non cryptées

La faille a été repérée par Slava Makkaveev, un chercheur en sécurité de l'entreprise Check Point, qui explique dans un long papier que l'app censée offrir la protection aux mobiles Xiaomi était vulnérable à qui saurait un tant soit peu maîtriser le code. Le problème trouvait son origine au niveau du processus Guard Provider qui communique avec trois serveurs d'antivirus (Avast, Tencent et AVL). Les échanges qui survenaient entre ces acteurs n'étaient absolument pas cryptés et une personne mal intentionnée présente sur le même réseau pouvait facilement récupérer les informations envoyées, mais aussi se servir de la faille pour désactiver toutes sortes de protections des données ou encore installer un ransomware au sein même du mobile.

Évidemment, Slava Makkaveev a rapidement prévenu Xiaomi (avant même la publication de son post) qui a d'ores et déjà corrigé le tir via une mise à jour proposée il y a peu. Le chercheur conclut en mettant en garde contre l'utilisation de plusieurs SDK (Software Development Kit) au sein d'une seule et même app, car un problème dans un SDK peut compromettre la protection de tous les autres.