Des chercheurs ont révélé qu'une application de sécurité préinstallée sur plus de 150 millions d'appareils fabriqués par Xiaomi, la 4ème plus grande entreprise de smartphones du monde en Chine, souffrait de multiples problèmes qui auraient pu permettre à des pirates distants de compromettre les smartphones Xiaomi.

Selon CheckPoint, les problèmes signalés résidaient dans l'une des applications préinstallées appelée Guard Provider, une application de sécurité développée par Xiaomi qui inclut trois programmes antivirus différents, permettant aux utilisateurs de choisir entre Avast, AVL et Tencent.

Guard Provider a été conçu pour offrir plusieurs programmes tiers au sein d'une même application, il utilise plusieurs kits de développement logiciel (SDK), ce qui, selon les chercheurs, n'est pas une bonne idée car les données d'un SDK ne peuvent pas être isolées les un des autres.

"Les inconvénients cachés de l'utilisation de plusieurs SDK au sein d'une même application résident dans le fait qu'ils partagent tous le contexte et les autorisations de l'application", explique la société de sécurité.

"Bien que des bugs mineurs dans chaque SDK puissent souvent être un problème autonome, lorsque plusieurs SDK sont implémentés dans la même application, il est probable que des vulnérabilités encore plus critiques soient présentes."

Avant de recevoir le dernier correctif, Guard Provider téléchargeait les mises à jour des signatures antivirus via une connexion HTTP non sécurisée, permettant ainsi à des attaquants sur un réseau Wi-Fi ouvert d'intercepter la connexion réseau de votre appareil et envoyer des mises à jour malveillantes.

"Une fois connecté au même réseau Wi-Fi que la victime - dans des lieux publics, par exemple dans des restaurants, des cafés ou des centres commerciaux -, l'attaquant serait en mesure d'accéder aux images, vidéos et autres données sensibles du propriétaire du téléphone, ou injecter des logiciels malveillants ", a déclaré CheckPoint à The Hacker News.

Cependant, le scénario d'attaque réel n'est pas aussi simple que cela puisse paraître.

Comme l'a expliqué CheckPoint, les chercheurs ont réussi à exécuter le code à distance sur le périphérique Xiaomi ciblé après avoir exploité quatre problèmes distincts dans deux SDK différents disponibles dans l'application.

L’attaque a essentiellement mis à profit l’utilisation d’une connexion HTTP non sécurisée, d’une vulnérabilité de type directory traversal et de l’absence de vérification des signatures numériques lors du téléchargement et de l’installation d’une mise à jour antivirus sur le périphérique.

"Il est tout à fait compréhensible que les utilisateurs fassent confiance aux applications préinstallées des fabricants de smartphones, en particulier lorsque ces applications prétendent protéger le téléphone lui-même", a déclaré le cabinet.


Check Point a signalé les problèmes à l'entreprise et a confirmé que Xiaomi avait désormais résolu les problèmes dans la dernière version de son application Guard Provider.

Si vous possédez un smartphone Xiaomi, assurez-vous que votre logiciel de sécurité est à jour.

Source et image : https://thehackernews.com/2019/04/xi...virus-app.html