Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Xiaomi corrige une étrange et importante faille sur ses navigateurs web

Xiaomi corrige une étrange et importante faille sur ses navigateurs web

Le 10 avril 2019 à 09h36

Le chercheur en sécurité Arif Khan, repris par The Hacker News,  détaille sa trouvaille sur Andmp. Pour faire simple, les navigateurs MI et Mint Browser de Xiaomi ne traitent pas correctement le paramètre « ?q= » d'une URL.

Au lieu d'afficher l'adresse complète, ils n'indiquent que ce qui se trouve derrière. Ainsi, lorsque vous visitez le site « phishing-site.com/?q=facebook.com », ILS AFFICHENT « facebook.com ». Nos confrères ont pu tester et confirmer cette faille.

Premier point étrange : les versions internationales des deux navigateurs – Mi Browser sur les smartphones Xiaomi et Mint Browser sur le Play Store – sont bien impactées, mais pas celles distribuées en Chine.

« Les fabricants chinois rendent-ils intentionnellement leur système d'exploitation, leurs applications et leurs firmwares vulnérables pour leurs utilisateurs du reste du monde ? », se demande le chercheur. De quoi relancer la crainte liée aux portes dérobées installées dans des produits chinois sur demande de Pékin.

Autre surprise : le chercheur a obtenu deux fois 99 dollars de récompense pour sa découverte… mais Xiaomi n'a pas corrigé ses navigateurs. Contacté par The Hacker News, Xiaomi répond laconiquement  qu'il « n’y a pas de mise à jour officielle concernant ce problème », mais conseille de regarder sur le forum pour se tenir au courant.

Trois jours après la mise en ligne de l'actualité par nos confrères, Xiaomi leur précise que la brèche est enfin corrigée et qu'une mise à jour est en cours de déploiement.

Le fabricant tente une explication : « Le bug résultait d'une fonctionnalité destinée à améliorer l'expérience utilisateur en masquant l'URL et en affichant uniquement les termes de recherche ». Cette fonctionnalité ne devait fonctionner qu'avec des URL spécifiques, mais elle était exploitée sur d'autres adresses utilisant le même schéma.

Xiaomi ne dit par contre pas un mot sur la présence de cette faille uniquement dans les versions internationales de ses navigateurs.

Il y a quelques jours, des applications préinstallées par Xiaomi étaient pointées du doigt, là encore pour défaut de sécurité : un antivirus pouvait se transformer en logiciel malveillant.

Le 10 avril 2019 à 09h36

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



« Les fabricants chinois rendent-ils intentionnellement leur système d’exploitation, leurs applications et leurs firmwares vulnérables pour leurs utilisateurs du reste du monde ? », se demande le chercheur

Quelqu’un a la liste des pays du monde à propos desquels on peut lancer toutes les théories du complot qu’on imagine sans passer pour un paranoïaque sous-cultivé?

votre avatar

C’est pas très compliqué.





  • Les occidentaux sont les gentils et sont logiquement au dessus de tout soupçons: si ils sont obligé d’espionner, contre leur gré puisque c’est pas dans leur nature, c’est pour nous protéger des méchants. Ceci est aussi valable pour leur alliés du moment.

  • Les autres c’est les méchants, donc il est logique de penser que tout acte malveillant vient forcément de chez eux. D’ailleurs, ils sont responsables de la pauvreté et de la violence dans les pays occidentaux. Surtout si ils ne sont pas judéo-chrétiens et/ou ont un trop haut taux de mélanine.



    Du coup, si tu veux être tranquille, il te suffit de ne pas impliquer des gentils et tu pourras te faire plaisir sans passer pour un parano <img data-src=" />

votre avatar

Aucun commentaire pour l’image choisie ? <img data-src=" />

votre avatar

Un poisson rouge et un smartphone ? Je vois pas le rapport non plus. <img data-src=" />

votre avatar

Un peu flippant quand même…

votre avatar

Ben y’a de quoi être suspicieux

Ce n’est pas une histoire de culture ou de racisme comme le commentaire précédent le suggère (Sinon on accuserait les entreprises taïwanaises ou hong-konguaise)

Il ne faut pas confondre un système politique avec les habitants

Le fait est que les entreprises de Chine continentale sont liées au gouvernement de Pékin de gré ou de force

Or, on parle du régime autoritaire le plus puissant du monde

Ils ne se cachent absolument pas quand ils mettent en place la censure de l’Internet à l’échelle industrielle par exemple

De plus, l’argument de la paranoïa ociddentale peut lui-même être considéré comme peut respectueux de l’opinion des chinois : Beaucoup de chinois se plaignent d’être trackés par leur gouvernement, notemment via des backdoor

Peut-être se trompent-ils je n’en sais rien, mais dire que la paranoïa serait uniquement occidentale est très réducteur

votre avatar

Suffit de changer le navigateur par défaut pour “combler” la brèche en fait, et vu le niveau de leur navigateur par défaut autant s’en passer, il ne manque pas d’alternatives sur le store

votre avatar







Winderly a écrit :



Un poisson rouge et un smartphone ? Je vois pas le rapport non plus. <img data-src=" />









Yannouch a écrit :



Un peu flippant quand même…





La faille ou le poisson rouge ? <img data-src=" /><img data-src=" />


votre avatar

La faille ! ;)

Xiaomi corrige une étrange et importante faille sur ses navigateurs web

Fermer