xiaomi

Xiaomi: plusieurs failles dans l’Antivirus pré-installé

Des chercheurs ont révélé qu’un antivirus pré-installé sur plus de 150 millions d’appareils fabriqués par Xiaomi contenait plusieurs vulnérabilités qui permettaient à un hacker distant de compromettre les smartphones Xiaomi.

Où résident ces failles de Xiaomi?

Selon CheckPoint, les problèmes résident dans l’une des applications pré-installées, Guard Provider, une application de sécurité développée par Xiaomi qui inclut trois différents programmes antivirus. Les utilisateurs peuvent choisir entre Avast, AVL et Tencent.

Guard Provider a été conçu pour offrir de multiple programmes tiers à l’intérieur d’une seule application, il utilise donc plusieurs Software Development Kits (SDK). Ce qui n’est pas vraiment une bonne idée car les données d’un SDK ne peuvent pas être isolé et n’importe quel problème dans l’un des SDK peut compromettre la protection fournit par les autres.

xiaomi antivirus for android

Il semblerait qu’avant d’être patché, Guard Provider téléchargeait des mises à jour de signature d’antivirus en utilisant une connexion HTTP non-sécurisée, permettant donc une attaque man-in-the-middle pour intercepter les données et compromettre les mises à jour.

Cependant, le scénario d’attaque n’est pas aussi direct qu’on peut le penser.

Comme expliqué par CheckPoint, les chercheurs ont effectué une exécution de code à distance sur un appareil Xiaomi après avoir exploité quatre différentes failles dans deux SDK disponibles sur l’application.

L’attaque a tiré profit de l’utilisation de connexion HTTP non-sécurisée, une vulnérabilité path-traversal et le manque de vérification de signature digitale durant le téléchargement et l’installation des mises à jour d’antivirus sur l’appareil.

Check Point a alerté la compagnie et a confirmé que que tout les problèmes ont été réparé dans la dernière version de l’application Guard Provider.

Si vous êtes le propriétaire d’un smartphone Xiaomi, assurez-vous que votre logiciel de sécurité est à jour.

Si cet article vous a plu, jetez un œil à l’article que nous avons publié sur les vulnérabilités de la trottinette électrique de Xiaomi.

Laisser un commentaire