Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Xiaomi corrige une étrange et importante faille sur ses navigateurs webCrédits : AntonioGuillem/iStock

Le chercheur en sécurité Arif Khan, repris par The Hacker News,  détaille sa trouvaille sur Andmp. Pour faire simple, les navigateurs MI et Mint Browser de Xiaomi ne traitent pas correctement le paramètre « ?q= » d'une URL.

Au lieu d'afficher l'adresse complète, ils n'indiquent que ce qui se trouve derrière. Ainsi, lorsque vous visitez le site « phishing-site.com/?q=facebook.com », ILS AFFICHENT « facebook.com ». Nos confrères ont pu tester et confirmer cette faille.

Premier point étrange : les versions internationales des deux navigateurs – Mi Browser sur les smartphones Xiaomi et Mint Browser sur le Play Store – sont bien impactées, mais pas celles distribuées en Chine.

« Les fabricants chinois rendent-ils intentionnellement leur système d'exploitation, leurs applications et leurs firmwares vulnérables pour leurs utilisateurs du reste du monde ? », se demande le chercheur. De quoi relancer la crainte liée aux portes dérobées installées dans des produits chinois sur demande de Pékin.

Autre surprise : le chercheur a obtenu deux fois 99 dollars de récompense pour sa découverte… mais Xiaomi n'a pas corrigé ses navigateurs. Contacté par The Hacker News, Xiaomi répond laconiquement  qu'il « n’y a pas de mise à jour officielle concernant ce problème », mais conseille de regarder sur le forum pour se tenir au courant.

Trois jours après la mise en ligne de l'actualité par nos confrères, Xiaomi leur précise que la brèche est enfin corrigée et qu'une mise à jour est en cours de déploiement.

Le fabricant tente une explication : « Le bug résultait d'une fonctionnalité destinée à améliorer l'expérience utilisateur en masquant l'URL et en affichant uniquement les termes de recherche ». Cette fonctionnalité ne devait fonctionner qu'avec des URL spécifiques, mais elle était exploitée sur d'autres adresses utilisant le même schéma.

Xiaomi ne dit par contre pas un mot sur la présence de cette faille uniquement dans les versions internationales de ses navigateurs.

Il y a quelques jours, des applications préinstallées par Xiaomi étaient pointées du doigt, là encore pour défaut de sécurité : un antivirus pouvait se transformer en logiciel malveillant.

9 commentaires
Avatar de nucle INpactien
Avatar de nuclenucle- 10/04/19 à 09:08:35

« Les fabricants chinois rendent-ils intentionnellement leur système d'exploitation, leurs applications et leurs firmwares vulnérables pour leurs utilisateurs du reste du monde ? », se demande le chercheur
Quelqu'un a la liste des pays du monde à propos desquels on peut lancer toutes les théories du complot qu'on imagine sans passer pour un paranoïaque sous-cultivé?

Avatar de Dr. Klein INpactien
Avatar de Dr. KleinDr. Klein- 10/04/19 à 09:38:06

C'est pas très compliqué.

  • Les occidentaux sont les gentils et sont logiquement au dessus de tout soupçons: si ils sont obligé d'espionner, contre leur gré puisque c'est pas dans leur nature, c'est pour nous protéger des méchants. Ceci est aussi valable pour leur alliés du moment.

  • Les autres c'est les méchants, donc il est logique de penser que tout acte malveillant vient forcément de chez eux. D'ailleurs, ils sont responsables de la pauvreté et de la violence dans les pays occidentaux. Surtout si ils ne sont pas judéo-chrétiens et/ou ont un trop haut taux de mélanine.

    Du coup, si tu veux être tranquille, il te suffit de ne pas impliquer des gentils et tu pourras te faire plaisir sans passer pour un parano :D

Édité par Dr. Klein le 10/04/2019 à 09:40
Avatar de Ubik! Abonné
Avatar de Ubik!Ubik!- 10/04/19 à 12:07:48

Aucun commentaire pour l'image choisie ? :fou:

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 10/04/19 à 12:19:18

Un poisson rouge et un smartphone ? Je vois pas le rapport non plus. :transpi:

Avatar de Yannouch Abonné
Avatar de YannouchYannouch- 10/04/19 à 14:43:27

Un peu flippant quand même...

Avatar de Sigma42 INpactien
Avatar de Sigma42Sigma42- 11/04/19 à 04:26:40

Ben y'a de quoi être suspicieux
Ce n'est pas une histoire de culture ou de racisme comme le commentaire précédent le suggère (Sinon on accuserait les entreprises taïwanaises ou hong-konguaise)
Il ne faut pas confondre un système politique avec les habitants
Le fait est que les entreprises de Chine continentale sont liées au gouvernement de Pékin de gré ou de force
Or, on parle du régime autoritaire le plus puissant du monde
Ils ne se cachent absolument pas quand ils mettent en place la censure de l'Internet à l'échelle industrielle par exemple
De plus, l'argument de la paranoïa ociddentale peut lui-même être considéré comme peut respectueux de l'opinion des chinois : Beaucoup de chinois se plaignent d'être trackés par leur gouvernement, notemment via des backdoor
Peut-être se trompent-ils je n'en sais rien, mais dire que la paranoïa serait uniquement occidentale est très réducteur

Édité par Sigma42 le 11/04/2019 à 04:27
Avatar de Guinnness INpactien
Avatar de GuinnnessGuinnness- 11/04/19 à 07:16:01

Suffit de changer le navigateur par défaut pour "combler" la brèche en fait, et vu le niveau de leur navigateur par défaut autant s'en passer, il ne manque pas d'alternatives sur le store

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 16/04/19 à 22:53:28

Winderly a écrit :

Un poisson rouge et un smartphone ? Je vois pas le rapport non plus. :transpi:

Yannouch a écrit :

Un peu flippant quand même...

La faille ou le poisson rouge ? :bigssourire::stress:

Avatar de Yannouch Abonné
Avatar de YannouchYannouch- 18/04/19 à 10:31:54

La faille ! ;)

Il n'est plus possible de commenter cette actualité.