Nos téléphones sont constamment connectés et peuvent donc communiquer avec l’extérieur, qu’on le sache ou non. Régulièrement, il arrive que certains scandales éclatent, révélant que tel opérateur ou tel constructeur a installé une porte dérobée, ou que telle agence gouvernementale fait pression pour avoir accès à nos données personnelles.
Cette semaine, c’est la marque chinoise Xiaomi qui se retrouve sous les feux des projecteurs après que Thijs Broenink, un étudiant en informatique des Pays-Bas, a découvert une application intitulée AnalyticsCore.apk installée nativement sur son Mi 4. Fonctionnant continuellement, cette application possède la particularité de se réinstaller automatiquement lorsque l’utilisateur la désinstalle lui-même. Curieux, Thijs Broenink s’est donc intéressé de plus près à cette app.
Un contact régulier avec Xiaomi
N’ayant pas reçu de réponse à ses questions sur le forum de MIUI, Thijs Broenink a cherché lui-même des réponses en décompilant l’application et en inspectant son code source. Il s’est alors rendu compte que l’application avait pour but de communiquer toutes les 24 heures avec les serveurs de Xiaomi et de télécharger l’application Analytics.apk si la version des serveurs est plus récente que celle du téléphone. L’application est alors téléchargée et installée totalement à l’insu de l’utilisateur qui n’est pas averti des possibles modifications.
Des données transmises en clair
Pour s’identifier auprès des serveurs de Xiaomi, l’application envoie des données telles que le modèle de téléphone, son numéro IMEI (identifiant unique d’un téléphone) ou encore son adresse MAC (liée à son modem). « Cela me semble être une vulnérabilité », indique Thijs, « à partir du moment où ils ont votre IMEI et le modèle de téléphone, ils peuvent installer n’importe quel APK spécifique à votre téléphone ». On peut donc imaginer que l’application Analytics.apk puisse réagir différemment en fonction des personnes.
Une application malveillante ?
Dans l’absolu, Xiaomi pourrait donc déployer à n’importe quel moment une application sur l’ensemble de ses terminaux en circulation, sans même que les utilisateurs en soient avertis. Une faille de taille dans le monde de la sécurité. S’il ne semble pas s’agir d’un malware à proprement parler pour le moment, l’application Analytics.apk pourrait être remplacée par une app bien moins silencieuse. Et l’on ne pense pas forcément à Xiaomi, mais aussi à des pirates qui pourraient profiter de ce système pour contaminer aisément un grand nombre d’appareils en réussissant juste à s’infiltrer dans les serveurs de Xiaomi.
Comment bloquer cette application ?
Pour l’heure, il est impossible de réellement se débarrasser de cette application, celle-ci revenant constamment. Certains ont cependant trouvé une parade en utilisant un firewall pour bloquer les échanges avec les domaines relatifs à Xiaomi sur leur téléphone. C’est en tout cas une bien mauvaise publicité pour le constructeur chinois, qui compte parmi les plus grands revendeurs de smartphones au monde et qui commence à peine à redorer son image après la découverte de nombreuses backdoors dans son firmware en 2014.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Comme pour Huawei et ZTE, il n'existe aucune preuve publique, mais le milieu dans lequel je travaille me fait me poser de sérieux doutes au sujet de Xiaomi. Je n'ai pas analysé cet APK en particulier, ça prend beaucoup trop de temps de mener à terme un reverse engineering complet. J'ai par contre analysé le comportement de mes Xiao Yi (quand elles étaient avec leur firmware par défaut) et là aussi, j'émets de gros doutes quand à l'utilité des connexions effectuées par les caméras aux serveurs chinois à certain moments.
Hello, j ai reçu une notif "Test" sur mon redme note 3 pro prime. Je suis pas le seul apparemment http://en.miui.com/thread-361232-1-1.html
Le Eco n'utilisent pas de ROM MIUI aussi ? http://www.letv.re/forum/46-miui/
Une réponse de XIaomi (fin d'article) : http://thehackernews.com/2016/09/xiaomi-android-backdoor.html Sans être pro xiaomi, il serait sympa que Frandroid édite son article (aussi), de plus que les communications de l'appli analytics sont sécurisées...
Salut, quels sont tes preuves ? As tu vraiment compris ce que faisait l'application Analytic.apk ? Sais tu ce qu'est l'écosystème MIUI ? Penses tu que surveiller QUE quelques millions de personnes hors de chine qui cherchent un smartphone en import est intéressant ? Penses tu que si l'état chinois innondais le marché, il ne l'aurait pas déjà fait sur d'autres produits largements plus utilisés, et fabriqués en Chine (foxconn : Apple, Samung...) ? BIen sur que tes appareils Xiaomi communiquent avec des serveurs chinois... Les applications se connectent à ton compte, vérifient les signatures apk, renvoient des données user experience comme n'importe quelle application concurrente (gopro, fitbit, google fit, facebook...).
En bas de l'article : http://thehackernews.com/2016/09/xiaomi-android-backdoor.html
De statistiques lol ! Naïf :-) Ils auraient dû l'appeler "recettes de cuisine", "fond d'écran" ou "calculatrice" pour éveiller encore moins les soupçons :-)
A votre avis, qui est derrière Xiaomi ? Pourquoi leurs téléphones et leurs caméras sont-ils aussi peu cher ? Autre question : quoi de plus facile pour l'Etat chinois que d'innonder le marché occidental avec ces appareils pour espionner leurs utilisateurs (ou s'en donner la possibilité au moins) ? J'avais fait le même constat avec mes caméras XiaoYi qui communiquent avec leur serveur en Chine.
Depuis quand un constructeur de smarphone n'a pas ce genre d'outil pour installer ou regarder nos données personnelles sur nos smartphones ? Cela fait bien longtemps que ça existe et ça existera toujours ...
On attend toujours le rectificatif de frandroid maintenant que l'ont sait que e n'est pas du tout un bakdoor.
Il semble que depuis MIUI 7.3 l'envoi de ces données soient "protégées". Source : http://thehackernews.com/2016/09/xiaomi-android-backdoor.html
Latruite se prend pour un saumon il veut un téléphone de riche cette année...qui n'explose pas si possible.
Prends un meizu latruite...:)
Ya eu la meme histoire sous android avec google ya un ou deux ans lol
Google le fait aussi donc bon rien de nouveau. Pour ceux qui se rappelle de l'aparition magique de l'appli "paramètres Google" dans kitkat ou lollipop
Le parti communiste chinois !
Non il en parle sans arrêt et sur tous les topics, il aime charrier les utilisateurs Android qui s'en tapent clairement ...
Allez chez Le Eco! Je viens de recevoir mon Le Max 2 et c'est une tuerie ! Fluide, très beau & je capte parfaitement la 4G partout !!!!! 219€
Lien pour le démenti stp
Tu dois te gourer frandroid n'évoque pas du tout ce que tu dis !
Que vient Amstrad ici ?
Pour le moins inquiétant !
Paranos, je ne pense pas. J'ai désactivé totalement 3 applis dont les "yellow pages", qui reviennent à chaque connection sur le net ! Redmi note 3 pro.
Mais non voyons, puisque Thijs Broenink pense que c'est peut être un backdoor, meme Frandroid le dis.
Vérifiez vos sources. Lisez le démenti de Xiaomi. Paranos !
« AnalyticsCore est un composant système intégré à MIUI utilisé par les autres composants afin d’analyser les données des utilisateurs pour améliorer l’expérience, comme MIUI Erroc Analytics. Par sécurité, MIUI [ndlr l’OS entier] vérifie la signature de l’application Analytics pendant l’installation ou la mise à jour pour garantir que seul l’APK avec la signature officielle peut être installée. N’importe quelle APK sans signature ne le pourra pas. Du fait qu’AnalyticsCore est clé pour assurer une meilleure expérience utilisateur, elle dispose d’une fonctionnalité de mise à jour automatique. Depuis MIUI v7.3 sorti en avril/mai, HTTPS a été intégré afin de mieux sécuriser le transfert de donnée, protégeant contre les attaques Man in the middle« .
Encore un gogole qui balance une supposition sur internet et tout le monde cours comme des abrutis. Et dans 2 semaines on apprendra comme presque toujours qu'en fait c'est n'est pas du tout ça, que par exemple cette appli sert aux mise a jour OTA ou que sait je encore . C'est pas grave le mal aura été fait (ou pas). En plus pour un backdoor c'est pas du tout caché, on le voit avec l'explorateur de fichier. Bref ça fera parler les débiles, c'est déjà ça.
Je dis ça je dis rien, mais n'importe quelle OTA peut installer une appli, service, ou framework non visible par l'utilisateur...
C'est de l'ironie ?
A la fois, la version MIUI est pleine de bloatware + ce soft. Le 1er truc a faire est d'installer une rom custom. Le mI4 est un telephone de fou, super reactif, beau, peu cher. Pis comme si les iphone ne communiquait pas a apple, les Sx à samsung, android a google...........
C'est bien ce qui est dit dans l'article donc. ^^
C'est peut-être une obligation pour les constructeurs chinois, une petite back-door pour le CPC?
Y a des gens qui refléchissent un peu. Merci
Tu peux désactiver les play services il me semble. Ce n'est pas du tout une apk cachée et elle est utile. Là même désinstallée l'application est téléchargée à nouveau.
C'est ça ^^
Haaaaaaa je comprends le malentendu. L'IMEI et le modèle ne servent pas à l'installation de l'appli. L'installation est un processus totalement indépendant. En revanche, connaître l'IMEI et le modèle permettent de créer une application qui réagira spécifiquement à CE terminal. D'où la phrase suivante : "On peut donc imaginer que l’application Analytics.apk puisse réagir différemment en fonction des personnes."
Merci! Ceci étant, l'IMEI suffirait à Xiaomi si IMEI et Modèle suffisaient à prendre le contrôle d'un terminal.
Donc exactement comme tout les téléphone avec le Playstore, ou Google met à jour les play Services silencieusement et sans le consentement de l'utilisateur. Bon j'ai un Mi5 et je viens de le passer sur CM, je suis plutôt content d'avoir moins de backdoors qui partent vers la Chine, je fait un peu plus confiance aux américains (au pire il m'espionnent mais Google risque moins de ce faire hacker)
"Citation d'une explication de Reddit :" J'ai justement précisé ça car, comme noté par Pfelelep_is_back, votre phrase n'a aucun sens car elle n'a pas de contexte ("à partir du moment où ils ont votre IMEI et le modèle de téléphone, ils peuvent installer n’importe quel APK spécifique à votre téléphone".) Cette phrase seule est fausse, avoir l'IMEI et le modèle du téléphone ne donne pas les permissions d'installer n'importe quel APK... Vous avez traduit une phrase de l'article de broenink sans prendre le contexte complet de sa réflexion, d'où la citation qui donne une explication détaillé.
Hahahahaha Je n'aime plus cette marque et je rigole de toutes ces histoires Hooo oui encore oui hummmm
Les téléphones xiaomi peuvent être bloqués par le compte MI installé dessus (si changement de sim etc...) l'appareil a besoin de communiquer avec les serveurs de xiaomi comme le numéro IMEI pour le blocage du téléphone donc possible que tout ça transit par cette apk. De là a dire que xiaomi veut installer des malwares...
On ne cite pas le même passage : "This sounds like a vulnerability to me anyhow, since they have your IMEI and Device Model, they can install any APK for your device specifically," Broenink said."
L'application Samsung Billing est là pour effectuer des paiements sur le store de Samsung et est désactivable. Ce n'est pas parce que d'autres marques peuvent le faire que ça rend la chose excusable pour Xiaomi.
ça ne m'étonnerais pas que tous les constructeurs aient ce genre d'appli de statistique...
C'est rassurant. Ce qui est encore moins rassurant c'est le silence de Xiaomi là dessus.
Samsung aussi le fait! rien d'exceptionnel la dedans. J'ai eu une application qui s'est installée sans que je fasse rien: Samsung billing<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Ils ont écrit l'article trop vite ou on très mal traduit... Citation d'une explication de Reddit : "They're sending your IMEI, MAC address, Model, Nonce, Package name and signature to Xiaomi's servers through an unencrypted channel once every 24 hours to check for an update to their analytics app. And if the servers see the analytics apps is out of date, they sent an APK down to your device (without you granting permission), and there aren't any verification done to make sure the APK they're sending is even an updated analytics app. So Xiaomi could use this to remotely install any app onto your device. Hackers could do the same if they gained control of Xiaomi's servers, and a local hacker should be able to do the same if they had control over the local network you are on." Trad vite fait : ils récupèrent l'IMEI, Mac Adress, modèle de tel, nom du paquet et toutes les 24 H, ils regardent s'il y a une mise à jour à faire du paquet, et si c'est le cas, ils envoient un .apk en clair et l'installe. Tout cela, sans demander de permission, bien sûr... Si Xiaomi, ou quelqu'un de malintentionné prend contrôle des serveurs, ils pourraient envoyer ce qu'ils veulent comme .apk. Il faut préciser que cela n'est présent que sur MIUI (peut-être aussi sur smui et autre ?), les cyanogen n'ont pas se problème.
En même temps xiaomi livre nativement avec miui pas mal d'appli, lié a son écosystème, et lié aux services mi.com & mi cloud (qui remplace sur les téléphones chinois ce que google fait, et même un peut plus: service cloud, backup sms/photo, géolocalisation du phone, mais aussi permettent d'envoyer des messages directement dessus, le déblocage&co..) La question est donc bien de savoir ce a quoi sers cette appli, ce qu'elle fait vraiment, si elle est active quand on ne se sers pas de son compte Mi sur un téléphone xiaomi, si elle est aussi présente et active sur les roms dérivées genre xiaomi.eu... pt'et que xiaomi communiquera dessus, finalement..
Je vais me débarrasser de mon Mi4. ça tombe bien je viens de commander l'iphone 7 plus Noir matte
Soit c'est encore un gogol qui nous parle du virus belge, soit FrAndroid est incapable de citer correctement, et encore moins de comprendre ce qu'il cite. Parce que cette phrase: « à partir du moment où ils ont votre IMEI et le modèle de téléphone, ils peuvent installer n’importe quel APK spécifique à votre téléphone » C'est encore plus marrant que la Tesla pour les amateurs de belles mécaniques.
la chine ne devais pas nous envahir par les egoûts normalement?^^<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Pour empêcher son installation : Récupérer le packageName de l'application en question. En installer une autre de signature différente avec le même packageName. Android refusera donc la mise à jour de l'application. Il y ai des chances que les mecs n'aient pas prévu de fallback pour ce cas, vu que l'utilisateur n'est même pas sensé savoir qu'elle existe.
Xiaomi éliminé de la liste d'achat potentiel ! dommage..
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix