Les téléphones Xiaomi peuvent aisément offrir une backdoor
Un étudiant hollandais a découvert qu’une application installée sur les smartphones de la marque Xiaomi offre une faille permettant l'installation aisée d'une backdoor.
Très sensible à la sécurité des données personnelles, Thijs Broenink, un étudiant hollandais, s’est intéressé de près aux applications logicielles installées par Xiaomi sur ses terminaux et a fait une découverte inquiétante. Une application installée d’office par le constructeur lui permettrait, non seulement de collecter des informations techniques particulièrement précises, mais autoriserait aussi le fabricant à installer « n’importe quelle application » sur le smartphone. Le manque de protection de cette application offrirait aux hackers une voie royale pour installer une porte dérobée.
Une backdoor sur les smartphone Xiaomi ?
Voulant en savoir davantage sur l’application « AnalyticsCore » qui fonctionnait en permanence en tâche de fond sur son téléphone, l’étudiant hollandais s’est, dans un premier temps, logiquement orienté vers les forums du constructeur chinois. Ne trouvant pas de réponse, il a alors décidé d’analyser le code de l’application pour connaitre sa fonction et la surprise a été de taille.
Selon les résultats de rétro-ingénierie obtenus par Thijs Broenink, non seulement l’application en question envoie quotidiennement au fabricant des informations techniques mais permettrait aussi au constructeur d’installer discrètement une mise à jour sans vérification. Après son étude précise de l’application, l’étudiant néerlandais assure : « Xiaomi peut installer n’importe quelle application sur votre terminal, à partir du moment où elle s’appelle Analytics.apk ».
Une porte ouverte pour les hackers
Thijs Broenink a d’autant plus été surpris que la connexion utilisée par l’application est non sécurisée. Pour l’étudiant hollandais, il serait très aisé pour un hacker d’intercepter la requête envoyée par l’application et la remplacer par une autre application offrant au pirate une porte dérobée sur l’appareil. Pas de doute pour M. Broenink, il est très facile d’installer une backdoor sur un smartphone Xiaomi.
L’étudiant néerlandais propose une solution quelque peu radicale mais efficace afin de protéger son téléphone contre les hackers en bloquant toutes les connexions de l’appareil vers les domaines de Xiaomi. Selon lui, l’utilisation du logiciel « AdAway » serait un bon compromis pour réaliser ce blocage. Un accès root est cependant nécessaire pour cela.