Le chercheur en sécurité Arif Khan, repris par The Hacker News, détaille sa trouvaille sur Andmp. Pour faire simple, les navigateurs MI et Mint Browser de Xiaomi ne traitent pas correctement le paramètre « ?q= » d'une URL.
Au lieu d'afficher l'adresse complète, ils n'indiquent que ce qui se trouve derrière. Ainsi, lorsque vous visitez le site « phishing-site.com/?q=facebook.com », ILS AFFICHENT « facebook.com ». Nos confrères ont pu tester et confirmer cette faille.
Premier point étrange : les versions internationales des deux navigateurs – Mi Browser sur les smartphones Xiaomi et Mint Browser sur le Play Store – sont bien impactées, mais pas celles distribuées en Chine.
« Les fabricants chinois rendent-ils intentionnellement leur système d'exploitation, leurs applications et leurs firmwares vulnérables pour leurs utilisateurs du reste du monde ? », se demande le chercheur. De quoi relancer la crainte liée aux portes dérobées installées dans des produits chinois sur demande de Pékin.
Autre surprise : le chercheur a obtenu deux fois 99 dollars de récompense pour sa découverte… mais Xiaomi n'a pas corrigé ses navigateurs. Contacté par The Hacker News, Xiaomi répond laconiquement qu'il « n’y a pas de mise à jour officielle concernant ce problème », mais conseille de regarder sur le forum pour se tenir au courant.
Trois jours après la mise en ligne de l'actualité par nos confrères, Xiaomi leur précise que la brèche est enfin corrigée et qu'une mise à jour est en cours de déploiement.
Le fabricant tente une explication : « Le bug résultait d'une fonctionnalité destinée à améliorer l'expérience utilisateur en masquant l'URL et en affichant uniquement les termes de recherche ». Cette fonctionnalité ne devait fonctionner qu'avec des URL spécifiques, mais elle était exploitée sur d'autres adresses utilisant le même schéma.
Xiaomi ne dit par contre pas un mot sur la présence de cette faille uniquement dans les versions internationales de ses navigateurs.
Il y a quelques jours, des applications préinstallées par Xiaomi étaient pointées du doigt, là encore pour défaut de sécurité : un antivirus pouvait se transformer en logiciel malveillant.
Commentaires (9)
#1
« Les fabricants chinois rendent-ils intentionnellement leur système d’exploitation, leurs applications et leurs firmwares vulnérables pour leurs utilisateurs du reste du monde ? », se demande le chercheur
Quelqu’un a la liste des pays du monde à propos desquels on peut lancer toutes les théories du complot qu’on imagine sans passer pour un paranoïaque sous-cultivé?
#2
C’est pas très compliqué.
Du coup, si tu veux être tranquille, il te suffit de ne pas impliquer des gentils et tu pourras te faire plaisir sans passer pour un parano
#3
Aucun commentaire pour l’image choisie ?
" />
#4
Un poisson rouge et un smartphone ? Je vois pas le rapport non plus.
" />
#5
Un peu flippant quand même…
#6
Ben y’a de quoi être suspicieux
Ce n’est pas une histoire de culture ou de racisme comme le commentaire précédent le suggère (Sinon on accuserait les entreprises taïwanaises ou hong-konguaise)
Il ne faut pas confondre un système politique avec les habitants
Le fait est que les entreprises de Chine continentale sont liées au gouvernement de Pékin de gré ou de force
Or, on parle du régime autoritaire le plus puissant du monde
Ils ne se cachent absolument pas quand ils mettent en place la censure de l’Internet à l’échelle industrielle par exemple
De plus, l’argument de la paranoïa ociddentale peut lui-même être considéré comme peut respectueux de l’opinion des chinois : Beaucoup de chinois se plaignent d’être trackés par leur gouvernement, notemment via des backdoor
Peut-être se trompent-ils je n’en sais rien, mais dire que la paranoïa serait uniquement occidentale est très réducteur
#7
Suffit de changer le navigateur par défaut pour “combler” la brèche en fait, et vu le niveau de leur navigateur par défaut autant s’en passer, il ne manque pas d’alternatives sur le store
#8
#9
La faille ! ;)