Passer au contenu

Les navigateurs web de Xiaomi sont vulnérables à l’usurpation de sites web

Des millions d’utilisateurs de smartphones Xiaomi Mi et Redmi peuvent facilement être la cible de campagnes de phishing. Malheureusement, aucun patch n’est disponible à l’heure actuelle.

L’info

Une faille dans les navigateurs web MI Browser et Mint Browser permet à des pirates d’usurper l’identité de sites web et, par conséquent, d’attirer les utilisateurs sur des pages vérolées. Le premier est le navigateur par défaut sur les smartphones Xiaomi Mi et Redmi, le second est un navigateur développé par Xiaomi et disponible sur Google Play. Confrontés à une requête de type « https://www.evilsite.com?q=www.google.com », ces logiciels ne vont afficher que « www.google.com » dans leur barre d’URL. Référencée sous le numéro CVE-2019-10875, cette faille a été détectée par le chercheur en sécurité Arif Khan qui a publié une vidéo de démonstration sur YouTube.

Ce que cela implique

Cette vulnérabilité impacte avant tout les millions d’utilisateurs de téléphones Xiaomi Mi et Redmi, qui peuvent être la cible de campagnes de phishing. Contacté par The Hacker News, le fournisseur a confirmé qu’aucun correctif n’est disponible à l’heure actuelle, sans plus de précisions. En attendant qu’un patch soit diffusé, il est conseillé de ne plus utiliser ces deux navigateurs. Chrome est une bonne alternative de ce point de vue. A noter que les smartphones Xiaomi distribués en Chine ne sont pas concernés par cette faille. Seuls les modèles dits « internationaux » sont vulnérables, ce qui est assez étrange. Visiblement fan de thèses complotistes, le chercheur en sécurité se demande si le fabricant ne l’aurait pas fait exprès.   

Source : note de blog d’Arif Kahn  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN