Passer au contenu

« Une menace pour tous les utilisateurs Xiaomi » : 20 failles touchent les smartphones de la marque

Une vingtaine de failles de sécurité mettent en danger les utilisateurs d’un smartphone Xiaomi. Ces vulnérabilités, identifiées dans les apps et composants développés par la firme chinoise, permettent d’orchestrer une foule de cyberattaques.

Article mis à jour le 13 mai 2024 pour lui ajouter la déclaration de Xiaomi.


Les chercheurs d’Oversecured ont découvert jusqu’à 20 failles de sécurité au sein des applications et des composants système de Xiaomi. Ces vulnérabilités sont présentes dans les applications par défaut des surcouches Android de la marque, HyperOS et MIUI, et dans les composants logiciels indispensables au fonctionnement de l’interface.

Parmi les applications concernées, on trouve l’app Galerie, la boutique Getapps (l’ancienne Xiaomi Market), le lecteur Mi Video, l’app réglages ou encore ShareMe, l’outil qui permet d’échanger facilement des fichiers. Du côté des composants du système, Oversecured cite MIUI Bluetooth, les services téléphoniques, le gestionnaire d’impression, Xiaomi Cloud, et la section de sécurité consacrée à la protection de l’appareil et des données de l’utilisateur.

À lire aussi : Xiaomi collecte la liste de tous les sites Web que vous visitez sur ses smartphones

Une portée d’entrée pour les pirates

Exploitées par des cybercriminels, les failles peuvent d’abord permettre d’exécuter du code arbitrairement à distance. En clair, un attaquant pourra lancer des logiciels malveillants, téléchargés depuis des serveurs distants, à l’insu des mécanismes de sécurité d’Android. Les vulnérabilités offrent aussi un accès aux composants du système qui disposent de droits étendus. L’accès non autorisé à ces éléments avec des privilèges élevés peut permettre à un cyberattaquant de contrôler des fonctions critiques du système ou d’obtenir des données sensibles.

In fine, les brèches ouvrent la voie à une myriade de cyberattaques différentes. Couplées à d’autres vulnérabilités, dont celles identifiées récemment dans des applications Android, elles mettent l’intégralité de la vie numérique des usagers en péril. Un malware, téléchargé via le Play Store ou une boutique alternative, pourra par exemple s’appuyer sur ces vulnérabilités pour s’attaquer à des applications bancaires. De nombreux logiciels malveillants cherchent en effet à pénétrer dans le compte en banque des utilisateurs par le biais de leur téléphone.

Un problème de SDK

Le rapport d’Oversecured détaille l’existence d’un problème de SDK (Software Development Kit) commun à plusieurs applications de Xiaomi. Apparemment, une des brèches était directement présente dans le kit de développement des apps destiné aux développeurs.

« Un attaquant peut lancer n’importe quelle fonctionnalité potentiellement sensible dans toutes les applications installées sur l’appareil de l’utilisateur », détaille Oversecured.

Par ailleurs, une vulnérabilité de l’application Bluetooth MIUI permet d’intercepter des fichiers échangés. On trouve une faille analogue dans l’application Paramètres. Elle permet de voler des données concernant les appareils Bluetooth, les réseaux Wi-Fi connectés et les contacts d’urgence.

Oversecured explique avoir alerté Xiaomi au sujet des vulnérabilités identifiées. Le constructeur chinois ne précise pas si les failles repérées ont été corrigées, mais on peut s’attendre au déploiement d’un correctif. Comme toujours, on vous recommande donc d’installer consciencieusement toutes les mises à jour sur votre smartphone Android.

La réponse de Xiaomi

Un porte-parole de Xiaomi a contacté la rédaction et se montre rassurant : « Xiaomi a remédié à toutes les vulnérabilités signalées par l’équipe Oversecured et s’est assuré qu’aucun utilisateur n’est exposé aux risques posés par ces vulnérabilités. Il est toujours conseillé aux utilisateurs de mettre à jour leurs appareils avec la dernière version du logiciel qui propose des mises à jour de sécurité. »

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Oversecured


Florian Bayard
Votre opinion
  1. depuis que j’ai des xiaomi je vois que la confidentialité des photos n’existe pas malgré le choix de stockage sur ma carde SD les photos sont automatiquement prélevé dans le stockage interne et prélevé par xiaomi ,donc maintenant a chaque photo avant je me met en mode avion , vide mes photos sur une clé extérieur et efface ensuite tous ce qui est en fichiers dans le stockage interne

    1. Faut arrêter de se lobotomiser l’esprit avec du complotisme, ils en ont rien à faire les pirates de tes photos. J’ai une solution pour toi un beau téléphone à touches 😉.

    2. Si c’est pas Xiaomi c’est Google ect… Dire que les donné son privé es une vaste blague. Sur windows 94 peut être oui

  2. J étais un fan de Xiaomi mais depuis mon achat au redmi note 12 5G que des problèmes et il est sous garantie le service client nul et le sav j en parle meme pas.une fenêtre apparaît disant que le volume est trop élevé , impossible a retirer il faut faire un redémarrage force, j ai fait des vidéos j ai envoyé et rien et 3fois au sav sans résultat maintenant je ne peux mettre de sonnerie personnalisée et on me répond apprenez le mode d emploi ..voilà ou j en suis !!!

  3. Pour mon cas le 11T pro est juste top , sa fait 2 ans que je l’utilise et franchement j’ai jamais eu de problème.

Les commentaires sont fermés.