Xiaomi : un backdoor lui permet d’installer des applications à distance

 
Xiaomi se réserve-t-il le droit d’installer à distance n’importe quelle application sur ses téléphones ? C’est en tout cas une possibilité envisageable après la récente découverte par un étudiant néerlandais en informatique d’une porte dérobée sur son Mi 4.
xiaomi-army

Nos téléphones sont constamment connectés et peuvent donc communiquer avec l’extérieur, qu’on le sache ou non. Régulièrement, il arrive que certains scandales éclatent, révélant que tel opérateur ou tel constructeur a installé une porte dérobée, ou que telle agence gouvernementale fait pression pour avoir accès à nos données personnelles.

Cette semaine, c’est la marque chinoise Xiaomi qui se retrouve sous les feux des projecteurs après que Thijs Broenink, un étudiant en informatique des Pays-Bas, a découvert une application intitulée AnalyticsCore.apk installée nativement sur son Mi 4. Fonctionnant continuellement, cette application possède la particularité de se réinstaller automatiquement lorsque l’utilisateur la désinstalle lui-même. Curieux, Thijs Broenink s’est donc intéressé de plus près à cette app.

Un contact régulier avec Xiaomi

N’ayant pas reçu de réponse à ses questions sur le forum de MIUI, Thijs Broenink a cherché lui-même des réponses en décompilant l’application et en inspectant son code source. Il s’est alors rendu compte que l’application avait pour but de communiquer toutes les 24 heures avec les serveurs de Xiaomi et de télécharger l’application Analytics.apk si la version des serveurs est plus récente que celle du téléphone. L’application est alors téléchargée et installée totalement à l’insu de l’utilisateur qui n’est pas averti des possibles modifications.

Des données transmises en clair

Pour s’identifier auprès des serveurs de Xiaomi, l’application envoie des données telles que le modèle de téléphone, son numéro IMEI (identifiant unique d’un téléphone) ou encore son adresse MAC (liée à son modem). « Cela me semble être une vulnérabilité », indique Thijs, « à partir du moment où ils ont votre IMEI et le modèle de téléphone, ils peuvent installer n’importe quel APK spécifique à votre téléphone ». On peut donc imaginer que l’application Analytics.apk puisse réagir différemment en fonction des personnes.

Une application malveillante ?

Dans l’absolu, Xiaomi pourrait donc déployer à n’importe quel moment une application sur l’ensemble de ses terminaux en circulation, sans même que les utilisateurs en soient avertis. Une faille de taille dans le monde de la sécurité. S’il ne semble pas s’agir d’un malware à proprement parler pour le moment, l’application Analytics.apk pourrait être remplacée par une app bien moins silencieuse. Et l’on ne pense pas forcément à Xiaomi, mais aussi à des pirates qui pourraient profiter de ce système pour contaminer aisément un grand nombre d’appareils en réussissant juste à s’infiltrer dans les serveurs de Xiaomi.

Comment bloquer cette application ?

Pour l’heure, il est impossible de réellement se débarrasser de cette application, celle-ci revenant constamment. Certains ont cependant trouvé une parade en utilisant un firewall pour bloquer les échanges avec les domaines relatifs à Xiaomi sur leur téléphone. C’est en tout cas une bien mauvaise publicité pour le constructeur chinois, qui compte parmi les plus grands revendeurs de smartphones au monde et qui commence à peine à redorer son image après la découverte de nombreuses backdoors dans son firmware en 2014.


Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.

Les derniers articles