Xiaomi Mi4 est livré avec un logiciel espion et un système d'exploitation Android forké, affirme Bluebox, Xiaomi réfute les accusations

Table des matières

• Le smartphone Android Xiaomi Mi4 LTE est expédié avec un logiciel espion/adware préinstallé et un système d’exploitation Android mixte, ce qui représente un grand risque de sécurité, selon Bluebox, une affirmation que Xiaomi réfute fortement
• Applications détectées comme malwares trouvées dans la configuration par défaut - Yt Service
• PhoneGuardService
• Version OS forkée vulnérable à Masterkey, FakeID et Towelroot (Linux futex)

Le smartphone Android Xiaomi Mi4 LTE est expédié avec un logiciel espion/adware préinstallé et un système d’exploitation Android mixte, ce qui représente un grand risque de sécurité, selon Bluebox, une affirmation que Xiaomi réfute fortement

#Mise à jour : Xiaomi nous a contactés avec leur version et nous a informés que l’échantillon testé par Bluebox n’a pas été acquis par des canaux officiels de Xiaomi et a pu être altéré par des vendeurs tiers sans l’avis de Xiaomi. Cela a également été confirmé par Bluebox via une mise à jour de leur post original.

Leurs deux déclarations sont ajoutées à la fin de l’article.

Le géant technologique chinois Xiaomi a progressivement gravi les échelons pour devenir l’un des principaux vendeurs de smartphones dans le monde et est actuellement le 3ème plus grand fabricant de smartphones. Ses smartphones sont très populaires dans des pays comme l’Inde, la Chine, etc. Sa dernière édition, appelée smartphone Mi4 LTE, connaît déjà des ventes de haute qualité avec plus de 25 000 unités vendues en seulement 15 secondes lors d’une vente flash sur le détaillant en ligne indien Flipkart.

Cependant, tout n’est pas rose avec le smartphone Xiaomi Mi4 LTE, selon les chercheurs en sécurité de la société de sécurité des données mobiles, Bluebox.

Les chercheurs de Bluebox ont trouvé deux problèmes de sécurité très critiques avec le Xiaomi Mi4 LTE. L’un d’eux est les applications préinstallées qui sont chargées sur le Mi4 et que Bluebox dit être signalées comme malwares. L’autre problème est que le Mi4 dispose d’un système d’exploitation Android forké, ce qui peut représenter un énorme risque de sécurité pour les utilisateurs.

Applications détectées comme malwares trouvées dans la configuration par défaut

Pour rechercher les problèmes de sécurité avec le Xiaomi Mi4, les chercheurs de Bluebox ont commandé un Mi4 directement depuis la Chine. Les enquêtes de première main ont révélé que l’unité qu’ils ont achetée était préinstallée avec un ensemble d’applications risquées, dont la plupart étaient signalées comme malwares par les logiciels antivirus.

Yt Service

Yt Service est l’une de ces applications, que les chercheurs de Bluebox ont trouvée particulièrement dangereuse. Yt Service, dont le but est d’intégrer un service adware appelé DarthPusher, est préchargé dans tous les smartphones Xiaomi Mi4 LTE. L’adware apparemment inoffensif, utilisé pour pousser des publicités, donne une fausse impression d’avoir été développé par Google. Bluebox dit que le package développeur de Yt Service est nommé “com.google.hfapservice.”, donnant l’impression qu’il s’agit d’une application légitime développée par Google.

“En d’autres termes, cela trompe les utilisateurs en leur faisant croire qu’il s’agit d’une application ‘sûre’ validée par Google,” a déclaré Bluebox dans un post de blog jeudi.

PhoneGuardService

Une autre des applications douteuses signalées par les solutions antivirus comme un Trojan, le PhoneGuardService, a un nom qui peut tromper les utilisateurs. Il est emballé sous le nom com “egame.tonyCore.feicheng.” En plus de PhoneGuardService, Bluebox a également trouvé une autre application appelée SMSreg et un total de six autres applications qui viennent préinstallées sur le Xiaomi Mi4 LTE mais qui ont un comportement similaire à un spyware et adware.

Version OS forkée vulnérable à Masterkey, FakeID et Towelroot (Linux futex)

Bluebox a déclaré qu’ils avaient découvert que la version d’Android à bord du Mi4 était une sorte de mélange d’Android Kitkat, Jellybean et même des versions antérieures d’Android. Les chercheurs de Bluebox ont déclaré avoir utilisé Trustable, leur outil d’évaluation de la sécurité mobile, qui a découvert que le Mi4 LTE était vulnérable à un certain nombre de failles récemment découvertes comme Masterkey, FakeID et Towelroot (Linux futex). Les chercheurs de Bluebox ont déclaré que le Mi4 était vulnérable à toutes les grandes failles sauf Heartbleed.

“Non seulement l’appareil était vulnérable à toutes les vulnérabilités que nous scannons (sauf pour Heartbleed qui n’était vulnérable qu’en 4.1.1), mais il était également rooté et avait le mode de débogage USB activé sans invitation appropriée pour communiquer avec un ordinateur connecté,” indique leur post de blog.

Les chercheurs ont déclaré que l’application “su” nécessite un fournisseur de sécurité pour être utilisée sur l’appareil (com.lbe.security.miui.su), donc l’utilisation de “su” est restreinte dans une certaine mesure, cependant, cela ne devrait pas exister dans une version de production d’Android, car c’est une porte d’entrée pour les applications et pourrait être exploitée par des cybercriminels pour prendre le contrôle total de l’appareil.

Pour montrer l’exemple forké d’Android, ils ont déclaré que l’icône de débogage USB avait été prise de Jelly Bean (Android 4.1-4.3.1) tandis que d’autres vulnérabilités découvertes par eux étaient spécifiques à des versions antérieures d’Android et ont été corrigées dans Kitkat.

Bluebox a cependant précisé qu’ils ne savaient pas si l’appareil qu’ils testaient était un prototype de laboratoire ou s’il était destiné à une sortie consommateur.

Propriétés de build conflictuelles [ro.build.version.release]: [4.4.4] Cela correspond à Android KitKat et API Level 19 [ro.build.version.sdk]: [17] Le niveau API correspond à Android Jelly Bean 4.2 [ro.build.tags]: [test-keys] Cela est généralement affiché sur des builds de test ou de débogage de logiciels, mais entre en conflit avec les tags dans l’empreinte de l’appareil [ro.build.fingerprint]: [Xiaomi/cancro/cancro:4.4.4/KTU84P/KXDCNBH25.0:user/release-keys]

Donc, si vous êtes un acheteur ou si vous avez déjà acheté le Xiaomi Mi4 LTE, veuillez noter ces faits publiés par Bluebox et prendre les mesures nécessaires pour atténuer le problème. Pour lutter contre ce risque, les employés et les entreprises doivent être prudents quant à la manière dont ils sécurisent les données (personnelles et professionnelles) sur leurs appareils.

Une des solutions possibles serait de rooter complètement l’appareil et d’y installer votre propre système d’exploitation de choix.

Kaylene Hong, Responsable des communications, Xiaomi nous a contactés pour cet article. Voici ce qu’elle avait à dire,

Le 5 mars 2015, Bluebox a publié un rapport initial sur leur site Web affirmant qu’un Mi 4 acheté en Chine est livré avec des malwares préinstallés. Voici notre réponse après une enquête approfondie : RÉSUMÉ : - Xiaomi et Bluebox ont confirmé que l’appareil obtenu par Bluebox est un produit contrefait.
– Les conclusions rapportées par Bluebox sont donc inexactes et ne représentent pas les téléphones Mi.
– Nous recommandons toujours à nos utilisateurs d’acheter des téléphones Mi uniquement par nos canaux officiels, y compris Mi.com et certains partenaires sélectionnés tels que les opérateurs mobiles et les détaillants autorisés.
– Tous les téléphones Mi vendus dans le monde sont vérifiés pour être entièrement compatibles avec Android. DÉTAILS : Nous avons conclu notre enquête sur ce sujet - l’appareil obtenu par Bluebox est prouvé à 100 % être un produit contrefait acheté par un canal non officiel dans les rues de Chine. Ce n’est donc pas un produit original de Xiaomi et il ne fonctionne pas avec le logiciel officiel de Xiaomi, comme Bluebox l’a également confirmé dans son post de blog mis à jour. 1) Matériel : Les experts en matériel de Xiaomi ont examiné les photos internes de l’appareil fournies par Bluebox et ont confirmé que le matériel physique est nettement différent de notre Mi 4 original. 2) Numéro IMEI : L’équipe après-vente de Xiaomi a confirmé que l’IMEI sur l’appareil de Bluebox est un numéro IMEI cloné qui a été précédemment utilisé sur d’autres appareils Xiaomi contrefaits en Chine. 3) Logiciel : L’équipe MIUI de Xiaomi a confirmé que le logiciel installé sur l’appareil de Bluebox n’est pas une version officielle de MIUI de Xiaomi, car nos appareils ne sont pas livrés rootés et n’ont pas de malwares préinstallés. Comme cet appareil n’est pas un produit original de Xiaomi, et ne fonctionne pas avec une version officielle du logiciel MIUI de Xiaomi, les conclusions de Bluebox sont complètement inexactes et ne représentent pas les appareils Xiaomi. Nous croyons que Bluebox a tiré une conclusion trop rapidement sans une enquête complète (par exemple, ils n’ont pas initialement suivi correctement notre processus de vérification du matériel publié en raison de la barrière linguistique) et leurs tentatives de contacter Xiaomi étaient inadéquates, compte tenu de la gravité de leurs accusations. Avec le grand marché parallèle des téléphones mobiles en Chine, il existe des produits contrefaits qui sont presque indiscernables de l’extérieur. Cela se produit dans toutes les marques, affectant à la fois les entreprises de smartphones chinoises et étrangères vendant en Chine. De plus, des détaillants “entrepreneuriaux” peuvent ajouter des malwares et des adwares à ces appareils, et même aller jusqu’à préinstaller des copies modifiées de logiciels de benchmarking populaires tels que CPU-Z et Antutu, qui exécuteront des “tests” montrant que le matériel est légitime. Xiaomi prend toutes les mesures nécessaires pour lutter contre les fabricants de dispositifs contrefaits ou quiconque altère notre logiciel, soutenu par tous les niveaux des agences d’application de la loi en Chine. Jusqu’à présent, nous n’avons pas reçu de rapports significatifs de téléphones Mi contrefaits en dehors de la Chine. Cependant, pour donner à nos utilisateurs internationaux une tranquillité d’esprit, une version anglaise de notre application de vérification (qui certifie l’authenticité du matériel Mi) est en cours de développement. Comme toutes les autres marques d’électronique grand public, nous recommandons toujours d’acheter des téléphones Mi par des canaux autorisés. Xiaomi ne vend que via Mi.com, et un petit nombre de partenaires de confiance de Xiaomi, y compris des opérateurs mobiles et des détaillants autorisés sélectionnés, tels que Flipkart en Inde et d’autres qui seront annoncés à l’avenir. De plus, contrairement à ce que Bluebox a affirmé, MIUI est un véritable Android, ce qui signifie que MIUI suit exactement le CDD d’Android, la définition de Google pour les appareils Android compatibles, et il passe tous les tests CTS d’Android, le processus utilisé par l’industrie pour s’assurer qu’un appareil donné est entièrement compatible avec Android. Tous les appareils Xiaomi vendus sur les marchés chinois et internationaux sont entièrement compatibles avec Android. – Xiaomi Mise à jour : 8 mars 2015
Andrew Blaich, Analyste principal en sécurité Après des tests approfondis, Xiaomi a déclaré que l’appareil est contrefait et un très bon à cela. Il a même trompé leur application de vérification au départ. La conclusion a été tirée après l’envoi d’environ une douzaine de photographies de divers angles et zones de l’appareil qui ont ensuite été examinées par une équipe de Xiaomi. Ils ont également comparé plusieurs des autres anomalies que Bluebox Labs a notées dans le rapport de résultats original. Le niveau de détail que cette contrefaçon a atteint pour ressembler et agir comme le vrai était plutôt extraordinaire. Il a les mêmes structures internes, batterie et étiquettes sur les composants que les gens utilisent couramment en ligne pour déterminer l’authenticité d’un appareil s’il n’est pas allumé[6]. Même l’application Mi Identification (AntiFake) qui a été publiée par Xiaomi pour détecter ce genre de situations nous a dit que l’appareil était authentique. La quantité d’efforts qui a dû être fournie pour confirmer l’authenticité de cet appareil dépasse de loin ce qu’un consommateur normal peut être censé faire pour s’assurer que son achat est authentique. La version du ROM MIUI chargée sur cet appareil a subi certaines modifications pour même contourner les vérifications d’authentification pour l’application AntiFake. Comme Bluebox Labs l’a mentionné dans les résultats originaux, il existe un répertoire caché sur la carte SD appelé .apk. C’est dans ce répertoire caché que se trouvent certains APK comme CPU-Z et également une version de l’application AntiFake. Si un utilisateur essaie d’installer une application sur son téléphone qui correspond à l’un de ces packages, alors l’application sur la carte SD remplace la véritable application que l’utilisateur tente d’installer. C’est une méthode que le ROM utilise pour contourner l’application de vérification. Le processus peut être contourné en supprimant la version de l’APK sur la carte SD pour l’application que vous souhaitez et en la remplaçant par la véritable version, puis en installant à nouveau l’application que vous souhaitez. Nous avons confirmé cela en installant la dernière application AntiFake. Après avoir obtenu la bonne version de l’application AntiFake installée sur notre appareil, nous avons pu valider la validité de l’appareil. L’appareil signale maintenant comme non légitime, ce qui corroborer les conclusions de Xiaomi. Bluebox Labs a discuté avec l’équipe de sécurité de Xiaomi. L’équipe de sécurité a également fourni des retours clarifiés que nous avions recherchés dans notre divulgation originale sur la posture de sécurité du ROM MIUI que Xiaomi expédie avec ses appareils. L’équipe a exécuté Trustable de Bluebox sur l’appareil et a obtenu un score de 6.7, un score bien meilleur que ce que Bluebox a trouvé avec le ROM MIUI non standard. De plus, beaucoup des divergences que nous avons trouvées dans le ROM sont supposément résolues dans le ROM Mi qui est expédié d’usine. Bien que nous nous basions sur la vérification de l’équipe de sécurité de Xiaomi, Bluebox Labs attend l’arrivée de quelques appareils supplémentaires pour effectuer nos propres tests. Les leçons tirées de cette entreprise se résument à : divulgation responsable, chaîne d’approvisionnement et outils d’authentification. Premièrement, les entreprises recevant des divulgations responsables doivent être vigilantes quant à la vérification des comptes qu’elles ont configurés pour recevoir de telles alertes et travailler avec les chercheurs de manière appropriée sur leurs découvertes. Xiaomi nous a assuré qu’ils avaient maintenant pris les mesures nécessaires pour surveiller le compte de plus près. L’équipe de sécurité de Xiaomi a également été excellente pour nous donner accès aux informations que nous avons demandées pour vérifier nos conclusions. Deuxièmement, la chaîne d’approvisionnement est remise en question. Que l’appareil soit contrefait ou non, le fait demeure que les consommateurs achètent des appareils qui ont des ROM compromises (soit mises sur du matériel légitime, soit mises sur du matériel contrefait) qui mettent leurs données en danger. Enfin, les outils d’authentification utilisés pour déterminer l’authenticité d’un appareil doivent être considérablement améliorés, car les fournisseurs n’auront pas le temps de recevoir et de traiter des dizaines de photos par appareil vendu pour déterminer l’authenticité de leurs appareils ou l’expertise technique pour contourner les astuces dans le logiciel.

Lisez l’article complet Malware-Ridden ‘Xiaomi’ Mi4 LTE testé par Bluebox trouvé être faux.