Téléphones Xiaomi affectés par plus de 20 vulnérabilités de sécurité

Les smartphones Xiaomi ont été trouvés avec plusieurs vulnérabilités dans leurs composants système et applications.

Oversecured, une entreprise de recherche en sécurité, a fait cette révélation.

Elle a commencé ses recherches en 2023 et a trouvé plus de 20 failles existantes qui auraient pu permettre à des attaquants malveillants d’accéder facilement.

De plus, elle a signalé les résultats à Xiaomi du 25 avril au 30 avril 2023, mais toutes n’ont pas été corrigées.

Selon ce rapport, la négligence de l’équipe Xiaomi a accordé l’accès à “des activités arbitraires, des récepteurs et des services avec des privilèges système, le vol de fichiers arbitraires avec des privilèges système, la divulgation des données de téléphone, des paramètres et du compte Xiaomi, et d’autres vulnérabilités.“

Table des matières

• Raisons des lacunes en matière de sécurité
• Applications affectées par la vulnérabilité - Mettez à jour votre téléphone

Raisons des lacunes en matière de sécurité

Chaque OEM, y compris Xiaomi, s’appuie sur la base de code AOSP de Google pour créer ses applications et services pour l’appareil.

Cependant, ces modifications n’ont pas été vérifiées en profondeur pour détecter des failles, exposant l’appareil à des incidents de sécurité.

La plupart des applications découvertes proviennent de l’AOSP, et les “améliorations de fonctionnalités” de Xiaomi ont apparemment amélioré l’expérience utilisateur, mais à un coût élevé.

Applications affectées par la vulnérabilité

La liste des applications affectées est longue et comprend toutes les applications couramment utilisées comme

• Galerie (com.android.printspooler)

• Spouleur d’impression (com.android.printspooler)

• Sécurité (com.miui.securitycenter)

• Composant de sécurité principal (com.miui.securitycore)

• Paramètres (com.android.settings)

• GetApps (com.xiaomi.mipicks)

• Mi Vidéo (com.miui.videoplayer)

• Bluetooth MIUI (com.xiaomi.bluetooth)

• Services téléphoniques (com.android.phone)

• ShareMe (com.xiaomi.midrop)

• Traçage système (com.android.traceur)

• Xiaomi Cloud (com.miui.cloudservice)

Les applications Paramètres contenaient quatre vulnérabilités qui permettaient aux attaquants de lier des services à n’importe quelle application et de lire des données Wi-Fi et Bluetooth, des fichiers système, des détails de compte Xiaomi et des numéros de téléphone.

GetApps, un service similaire à un App Store, avait également quatre failles de sécurité majeures qui pouvaient entraîner une corruption de la mémoire et exposer des données sensibles, telles que des jetons de session Xiaomi.

Oversecured a mentionné que Xiaomi n’a pas corrigé cette faille, ce qui est une mauvaise nouvelle pour les utilisateurs existants.

Ces découvertes ont plus d’un an et soulèvent des inquiétudes quant aux efforts que les OEM comme Xiaomi consacrent à la sécurisation de leurs appareils.

Mettez à jour votre téléphone

Après tout, ce sont des applications système trouvées dans tous les téléphones (y compris les téléphones haut de gamme comme le Xiaomi 14 Ultra), rendant difficile la confiance dans la marque avec des données personnelles.

Xiaomi n’a pas commenté ce rapport récent.

Si vous utilisez un téléphone Xiaomi, installez toutes les mises à jour système récemment publiées, qui pourraient contenir des correctifs pour certaines (ou toutes) de ces vulnérabilités.