Check Point Research a récemment découvert une vulnérabilité de sécurité dans une application préinstallée sur les smartphones de Xiaomi. En l'occurrence, dans Guard Provider qui n'est autre qu'une application… de sécurité. Elle est affichée en tant qu'application Security ou Sécurité.

Xiaomi Mi Mix 3 14
Pour une analyse de sécurité, cette application s'appuie sur des bases de données virales d'AVG, Tencent ou AVL. L'utilisateur peut choisir l'un deux en tant que moteur antivirus par défaut. En raison d'un trafic réseau non sécurisé (en clair) vers et depuis Guard Provider, Check Point Research a pointé du doigt le risque d'une attaque de type Man-in-the-Middle.

Autrement dit, Guard Provider obtenait ses mises à jour via une connexion HTTP non sûre. Un attaquant sur le même réseau Wi-Fi que l'utilisateur était alors en mesure d'intercepter du trafic et par exemple injecter un malware dans les mises à jour. Une attaque qui n'est pour autant pas à la portée du premier venu.

xiaomi-security-guard-provider

Check Point a prévenu Xiaomi (pas de divulgation publique) qui a rapidement publié un correctif dans la foulée. Une nouvelle fois, cette péripétie met en lumière la problématique de plusieurs SDK (kits de développement logiciel) - et ici ceux des antivirus Avast, Tencent et AVL - qui sont utilisés par une seule application et permettent aux développeurs de gagner du temps pour ne pas avoir à réécrire du code.

" Bien que des bugs mineurs dans chaque SDK individuel puissent souvent être un bug isolé, lorsque plusieurs SDK sont implémentés dans la même application, il est probable que des vulnérabilités encore plus critiques ne seront pas loin ", écrit la société de cybersécurité.

Il n'y avait évidemment pas d'intention malveillante de la part de Xiaomi. Toutefois, son association de plusieurs éléments dans une application elle-même dédiée à la sécurité aurait dû être effectuée avec davantage de précaution.