[MAJ] Xiaomi peut forcer l’installation à distance d’applis sur vos téléphones, et les pirates aussi

MAJ : Du fait que l’affaire ait pris de l’ampleur sur le net, les responsables de Xiaomi se sont vite empressés de répondre à ces accusations. Voici leurs explications, traduites de l’anglais :

AnalyticsCore est un composant système intégré à MIUI utilisé par les autres composants afin d’analyser les données des utilisateurs pour améliorer l’expérience, comme MIUI Erroc Analytics. Par sécurité, MIUI [ndlr l’OS entier] vérifie la signature de l’application Analytics pendant l’installation ou la mise à jour pour garantir que seul l’APK avec la signature officielle peut être installée. N’importe quelle APK sans signature ne le pourra pas. Du fait qu’AnalyticsCore est clé pour assurer une meilleure expérience utilisateur, elle dispose d’une fonctionnalité de mise à jour automatique. Depuis MIUI v7.3 sorti en avril/mai, HTTPS a été intégré afin de mieux sécuriser le transfert de donnée, protégeant contre les attaques Man in the middle“.


Coup dur pour Xiaomi qui avait déjà été accusé de placer des adwares et malwares sur ses téléphones : un étudiant a découvert qu’un processus ancré dans MIUI permettait au constructeur d’installer à distance n’importe quelle application. Un procédé qui pourrait être aussi piraté.

miui-xiaomi-mi5-rom-globale

L’économie de la high-tech et du numérique est progressivement passé d’une philosophie mettant en avant le bien à celle mettant en avant le service. Une évolution que l’on peut également voir sur nos smartphones, où le bien n’est plus qu’un conducteur du service qu’il nous procure réellement.

Toutefois, il reste tout aussi important. Mais la possession de nos smartphones devient étrangement secondaire. Alors que de nombreuses personnes préfèrent toujours s’endetter chez leur opérateur que d’acheter en une fois, ce principe devient d’autant plus flou aujourd’hui.

En effet, un étudiant en sécurité informatique des Pays Bas a découvert que MIUI, la fameuse ROM de Xiaomi équipant son Mi4, avait en son système une mystérieuse application préinstallée nommée “AnalyticsCore“. Le forum officiel de la marque n’ayant été d’aucune aide, il a pris sur lui d’enquêter sur celle-ci.

Après analyse, il s’agit d’une application qui envoie les informations de l’appareil (IMEI, modèle, adresse MAC…) aux serveurs officiels de Xiaomi toutes les 24 heures, et recherche un fichier de mise à jour du même temps. Si un paquet “Analytis.apk” existe sur celui-ci, elle l’installera automatiquement sans accord du possesseur du téléphone.

Et ce sans vérification avérée du fichier téléchargé, faisant que les pirates pourraient très bien utiliser cette “backdoor” pour leurs propres desseins. D’autant que ces communications ne sont pas chiffrées, laissant la possibilité aux pirates de se placer entre les communications du serveur et de l’appareil.

Alors que le Xiaomi Mi note 2 ne devrait plus tarder à être présenté, espérons que la marque réagisse à cette découverte et fournisse une explication plausible à cela. Voir même fasse marche arrière, ce procédé était hautement à risque.

Source

Réagissez à cet article !
  • Fred

    Ils en sont pas a leur premier coup eux.
    Les bricoleurs enlèveront le fameux fichier,les autres………

    • les autres c’est la quenelle.

    • lemaitre

      Même si tu d”installes l’app, les serveurs de xiaomi te le balanceront à distance. La seule solution c’est de mettre en place un firewall pour bloquer les échanges avec les domaines et serveurs de xiaomi.

      • myk

        Ha voilà c’est intéressant je vais pouvoir le dire a un proche fanatique de cette marque

        • szds

          Sauf que cette accusation est fausse et Xiaomi l’a prouvé. Marre des gros bobos ayant peur de tout et n’importe quoi.

          • myk

            T’es gentil garçon mais j’ai rien demandé moi.. En plus xiaomi … Moi j’en m’en cogne… Ceci dit je vois pas ce que xiaomi à prouvé !

          • lemaitre

            Excuse moi je suis fan de XIAOMI mais ce dernier n’a rien prouvé du tout, au contraire il s’est contenté de survoler le débat et là il s’agit d’une autre affaire.

  • itachi

    Ça va être beau l’expansion à l’international.

    • lemaitre

      Si tous ces abus sont avérés, ils n’iront pas loin à l’international.

  • Kevin B.

    J’ai toujours trouvé MIUI mystérieux… Cette suite me donne raison décidément !

  • lemaitre

    Je ne suis pas mais alors pas du tout convaincu par les explications de xiaomi.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Android 8.0 Oreo : la recherche de mise à jour fonctionne enfin comme prévu

Nous avons tous appuyé frénétiquement sur “rechercher une mise à jour” dans les paramètres d’Android à chaque nouvelle version. Avec Android 8.0 Oreo, ce geste forcera enfin la recherche et l’installation de la nouvelle mise à jour, sans attendre que la vague de déploiement nous atteigne !

Go Keyboard espionne ses 200 millions d’utilisateurs, gare à vous !

Votre clavier vous permet aussi bien de répondre à vos amis… que de rentrer vos numéros de compte en banque. Gare à vous donc : il a été révélé que GO Keyboard, ou GO Clavier sur le Play Store français, espionnait ses 200 millions d’utilisateurs en cachette.

Android Oreo : la mise à jour désactive le réveil de votre smartphone !

Si vous êtes l’heureux possesseur d’un Google Pixel ou d’un Nexus et que vous avez récemment installé la mise à jour vers Android Oreo, vous allez peut-être arrivé en retard à votre boulot ce matin ! Selon plusieurs utilisateurs, l’alarme de leur smartphone rencontre quelques bugs depuis l’arrivée d’Oreo… Et vous ?

Nvidia Shield TV : disponible à un prix inférieur à 200 euros

La Nvidia Shield TV est désormais disponible à moins de 200 euros dans un pack comprenant la box Android TV et sa télécommande. Les consommateurs pourront ainsi se tourner vers cette solution qui fait office d’alternative face à l’arrivée de l’Apple TV 4K.

426369807d4362adbf211b11b0e6b0c8nnnnnnnnnn