Des chercheurs d'IBM pointent du doigt le manque de sérieux dans la sécurisation des outils de mise à jour des applications installées par défaut sur les smartphones de Xiaomi.
Selon les experts en sécurité, une faille de sécurité importante a été repérée au sein de MIUI, la version d'Android retravaillée par Xiaomi et installée par défaut sur tous ses terminaux. Le constructeur, alerté, aurait depuis procédé à la correction des problèmes.
La faille en question permettait en théorie à des hackers d'accéder aux terminaux à distance et d'y exécuter du code malveillant tout en profitant d'un accès d'administrateur.
C'est le processus de mise à jour de MIUI qui était fautif dans l'affaire : le logiciel se connectait simplement à un espace HTTP pour vérifier que la version installée sur le terminal était bien la dernière en date. Dans le cas contraire, le serveur de Xiaomi renvoyait un lien vers un fichier APK contenant la mise à jour.
Une attaque de type Man in the middle était alors possible, les hackers se positionnant entre les terminaux et les serveurs de Xiaomi pour propager des fichiers APK vérolés.
Xiaomi a corrigé la faille en imposant des échanges entre ses serveurs et les terminaux de façon sécurisée avec un chiffrement TLS.
