du 10 avril 2019
Date

Choisir une autre édition

Xiaomi corrige une étrange et importante faille sur ses navigateurs web

Le chercheur en sécurité Arif Khan, repris par The Hacker News,  détaille sa trouvaille sur Andmp. Pour faire simple, les navigateurs MI et Mint Browser de Xiaomi ne traitent pas correctement le paramètre « ?q= » d'une URL.

Au lieu d'afficher l'adresse complète, ils n'indiquent que ce qui se trouve derrière. Ainsi, lorsque vous visitez le site « phishing-site.com/?q=facebook.com », ILS AFFICHENT « facebook.com ». Nos confrères ont pu tester et confirmer cette faille.

Premier point étrange : les versions internationales des deux navigateurs – Mi Browser sur les smartphones Xiaomi et Mint Browser sur le Play Store – sont bien impactées, mais pas celles distribuées en Chine.

« Les fabricants chinois rendent-ils intentionnellement leur système d'exploitation, leurs applications et leurs firmwares vulnérables pour leurs utilisateurs du reste du monde ? », se demande le chercheur. De quoi relancer la crainte liée aux portes dérobées installées dans des produits chinois sur demande de Pékin.

Autre surprise : le chercheur a obtenu deux fois 99 dollars de récompense pour sa découverte… mais Xiaomi n'a pas corrigé ses navigateurs. Contacté par The Hacker News, Xiaomi répond laconiquement  qu'il « n’y a pas de mise à jour officielle concernant ce problème », mais conseille de regarder sur le forum pour se tenir au courant.

Trois jours après la mise en ligne de l'actualité par nos confrères, Xiaomi leur précise que la brèche est enfin corrigée et qu'une mise à jour est en cours de déploiement.

Le fabricant tente une explication : « Le bug résultait d'une fonctionnalité destinée à améliorer l'expérience utilisateur en masquant l'URL et en affichant uniquement les termes de recherche ». Cette fonctionnalité ne devait fonctionner qu'avec des URL spécifiques, mais elle était exploitée sur d'autres adresses utilisant le même schéma.

Xiaomi ne dit par contre pas un mot sur la présence de cette faille uniquement dans les versions internationales de ses navigateurs.

Il y a quelques jours, des applications préinstallées par Xiaomi étaient pointées du doigt, là encore pour défaut de sécurité : un antivirus pouvait se transformer en logiciel malveillant.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Cet accord, signé une première fois en 2011 puis prolongé en 2016, prévoit que les séries du groupe arrivent automatiquement sur la plateforme de streaming après leur diffusion à la télévision. C'est par exemple le cas de Riverdale, Supernatural, The Flash et Arrow.

Comme l'affirme The Verge, l'accord expire ce printemps et CW ne prévoit pas de le renouveler. Les nouvelles séries comme Batwoman, Nancy Drew et Katy Keen n'arriveront donc pas automatiquement sur Netflix. Néanmoins, des accords individuels peuvent toujours être mis en place.

Rien ne change pour le moment pour les anciennes séries : les nouvelles saisons continueront d'arriver sur la plateforme de streaming, c'est du moins ce qu'affirment nos confrères.

Dans tous les cas, ce changement de stratégie ne concerne pas que Warner Bros et CBS. Disney aussi a rapatrié ses contenus afin de les proposer sur sa propre plateforme : Disney+, qui sera lancée le 12 novembre.

Copié dans le presse-papier !

En novembre dernier, à Versailles, la 26e Conférence générale des poids et mesures (CGPM) votait à l'unanimité les nouvelles définitions pour le kilogramme, le kelvin, la mole et l'ampère. La date d'entrée en vigueur des nouvelles définitions étaient programmée pour aujourd'hui, 20 mai.

Une petite révolution dans le monde de la mesure puisque l'ensemble des unités est désormais défini par des constantes physiques. Un changement important pour la science, toujours en quête de précision.

Copié dans le presse-papier !

« Effectivement, il va y avoir un recours », nous confirme le Conseil de l’Ordre des médecins ce jour. Celui-ci va attaquer devant le Conseil d’État le décret autorisant la mise en relation des fichiers de suivi des personnes en soins psychiatriques sans consentement (HOPSYWEB) et de signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT).

Ce recours sera effectué à titre conservatoire d’abord, afin de préparer la suite du contentieux avec des arguments axés sur la protection des droits et libertés.

Ce croisement de fichiers avait tout autant subi les critiques de la CNIL qui rappelait combien est sensible la question du secret médical, pas seulement sur l’autel du règlement général sur la protection des données personnelles.

L’extension d’Hopsyweb à la lutte contre la radicalisation à caractère terroriste et la transmission des données médicales au Ministère de l’Intérieur avait eu également les honneurs du Syndicat des avocats de France : elle « implique que chaque personne hospitalisée sans son consentement, pour des raisons qui n’ont rien à voir avec le terrorisme, se retrouve suspecte et potentiellement soumise à un principe de précaution à long terme au risque d’être suivi médicalement sans limite liée à la nécessité des soins ».

Plusieurs syndicats et associations du secteur médical ont aussi démultipliés les reproches. Cette interconnexion « constitue une étape supplémentaire inacceptable et scandaleuse au fichage des personnes les plus vulnérables touchées par la maladie mentale dans notre pays, dans un amalgame indigne entre le champ sanitaire et celui de prévention de la radicalisation ». Ils signalaient le précédent « SI-VIC » (système d’information pour le suivi des victimes) soit le fichage des gilets jaunes, admis aux urgences lors des mouvements sociaux.

Copié dans le presse-papier !

C'est une mauvaise nouvelle de plus, mais finalement pas si surprenante étant donnée la propension du fabricant à brûler du cash.

Les 2,7 milliards de dollars levés récemment, ne donneraient à Tesla que 10 mois pour atteindre l'équilibre si les dépenses suivent le rythme du premier trimestre, c'est du moins ce qu'affirme son dirigeant dans un courrier interne consulté par Reuters.

« C’est la raison pour laquelle, à l’avenir, toute dépense quelle qu’elle soit dans le monde, notamment les pièces détachées, les salaires, les frais de déplacement, le loyer, littéralement tout paiement qui sort de notre compte bancaire doit [être] examiné », explique-t-il.

Nos confrères rappellent qu'en avril 2018 déjà, Elon Musk avait demandé à sa direction de « passer au crible toutes les dépenses effectuées dans le monde ». Le constructeur avait ensuite réduit ses effectifs de 9 % en juin dernier et de 7 % en janvier.

En mars, Elon Musk annonçait la fermeture des boutiques physiques en affirmant qu'il n'y avait « pas d'autre moyen de réaliser les économies nécessaire à la production de cette voiture [la Model 3, ndlr] tout en restant rentable ». Finalement, une alternative était trouvée quelques jours plus tard : augmenter les tarifs de 3 % pour garder environ 50 % des magasins.