Une application de sécurité de Xiaomi a permis aux pirates d’intercepter la connexion pour voler des données ou installer des logiciels malveillants, selon les chercheurs en sécurité de Check Point. La défaillance était présente dans l’application Guard Provider, trouvée par défaut sur les téléphones portables avec MIUI ; elle ne peut pas être facilement supprimée. Heureusement, le problème a été résolu.
L’écart était relativement simple : le fournisseur de services de garde téléchargeait les mises à jour par le biais d’une connexion HTTP sans cryptage. En d’autres termes, il était vulnérable aux attaques de type “man-in-the-middle” : un attaquant pouvait injecter du code pour “voler des données, envoyer des rançons ou installer tout autre type de logiciel malveillant”, explique Check Point dans une déclaration.
Les chercheurs ont informé Xiaomi du problème, et le fabricant a publié un patch peu après. “Xiaomi en est consciente et a déjà travaillé avec notre partenaire Avast pour y remédier”, a déclaré une porte-parole de l’entreprise à CNET.
Les failles de sécurité dans le fournisseur de garde (com.miui.guardprovider) peuvent être plus graves car il est préinstallé par défaut et ne peut pas être retiré facilement.
Un fil de discussion du forum XDA Developers sur Pocophone F1 enseigne comment supprimer les logiciels malveillants de l’appareil via la racine, en énumérant un certain nombre d’applications préinstallées. Un utilisateur suggère d’inclure Guard Provider dans la liste, mais une autre personne prévient : “après avoir désinstallé les composants de sécurité de la MIUI (Guard Provider), je ne peux installer aucune application manuellement”.
Comment l’attaque sur les téléphones portables de Xiaomi a-t-elle fonctionné
Guard Provider comprend trois moteurs antivirus différents : l’utilisateur peut choisir entre Avast, AVL et Tencent en standard. Ensuite, l’application met périodiquement à jour sa base de données de virus en téléchargeant le fichier avast-android-vps-v4-release.apk, explique Check Point.
Cependant, le mécanisme de mise à jour a utilisé une connexion HTTP non protégée pour télécharger ce fichier. Par conséquent, un agresseur pourrait effectuer une attaque de type “man-in-the-middle” en se connectant au même réseau Wi-Fi et en envoyant son propre fichier. Elle pourrait même empêcher les futures mises à jour d’Avast.
Cela était également possible si l’utilisateur basculait le moteur antivirus sur l’AVL : l’envahisseur était capable de bloquer la communication du téléphone portable vers les serveurs de l’AVL, forçant l’utilisateur à choisir à nouveau Avast. Tous les détails techniques sont expliqués ici.
Check Point critique l’utilisation de différents SDK dans la même application : ils peuvent présenter individuellement de petites failles de sécurité, mais ils peuvent interagir les uns avec les autres. “Lorsque plusieurs SDK sont déployés dans une même application, des vulnérabilités encore plus critiques ne sont probablement pas trop éloignées les unes des autres”, affirment les chercheurs.