du 10 avril 2019
Date

Choisir une autre édition

Xiaomi corrige une étrange et importante faille sur ses navigateurs web

Le chercheur en sécurité Arif Khan, repris par The Hacker News,  détaille sa trouvaille sur Andmp. Pour faire simple, les navigateurs MI et Mint Browser de Xiaomi ne traitent pas correctement le paramètre « ?q= » d'une URL.

Au lieu d'afficher l'adresse complète, ils n'indiquent que ce qui se trouve derrière. Ainsi, lorsque vous visitez le site « phishing-site.com/?q=facebook.com », ILS AFFICHENT « facebook.com ». Nos confrères ont pu tester et confirmer cette faille.

Premier point étrange : les versions internationales des deux navigateurs – Mi Browser sur les smartphones Xiaomi et Mint Browser sur le Play Store – sont bien impactées, mais pas celles distribuées en Chine.

« Les fabricants chinois rendent-ils intentionnellement leur système d'exploitation, leurs applications et leurs firmwares vulnérables pour leurs utilisateurs du reste du monde ? », se demande le chercheur. De quoi relancer la crainte liée aux portes dérobées installées dans des produits chinois sur demande de Pékin.

Autre surprise : le chercheur a obtenu deux fois 99 dollars de récompense pour sa découverte… mais Xiaomi n'a pas corrigé ses navigateurs. Contacté par The Hacker News, Xiaomi répond laconiquement  qu'il « n’y a pas de mise à jour officielle concernant ce problème », mais conseille de regarder sur le forum pour se tenir au courant.

Trois jours après la mise en ligne de l'actualité par nos confrères, Xiaomi leur précise que la brèche est enfin corrigée et qu'une mise à jour est en cours de déploiement.

Le fabricant tente une explication : « Le bug résultait d'une fonctionnalité destinée à améliorer l'expérience utilisateur en masquant l'URL et en affichant uniquement les termes de recherche ». Cette fonctionnalité ne devait fonctionner qu'avec des URL spécifiques, mais elle était exploitée sur d'autres adresses utilisant le même schéma.

Xiaomi ne dit par contre pas un mot sur la présence de cette faille uniquement dans les versions internationales de ses navigateurs.

Il y a quelques jours, des applications préinstallées par Xiaomi étaient pointées du doigt, là encore pour défaut de sécurité : un antivirus pouvait se transformer en logiciel malveillant.

chargement Chargement des commentaires...