Des chercheurs de Check Point ont découvert une faille de sécurité au cœur d’une application préinstallée sur les téléphones Xiaomi… censée protéger les utilisateurs des attaques informatiques. Un sacré paradoxe.

C’est à une faille pas comme les autres à laquelle ont eu affaire les équipes de Check Point, une société de solutions dédiées à la sécurité des systèmes d’information. Les chercheurs de l’entreprise ont en effet décelé une faille nichée au cœur de Guard Provider, une application préinstallée sur les smartphones de la marque chinoise Xiaomi, quatrième plus important constructeur d’appareils mobiles au monde.

En premier lieu, précisons que le groupe asiatique a publié l’app’ sous un autre patronyme : Security, dont l’objectif est de détecter les logiciels et applications malveillants susceptibles d’endommager le système du terminal. Mais faut-il encore que Guard Provider soit lui aussi protégé contre les tentatives d’attaque informatique. Or, ce n’était pas le cas, comme l’ont prouvé les spécialistes de Check Point.

L’attaque de « l’homme au milieu »

Ces derniers ont ainsi mis en exergue une vulnérabilité liée aux différents SDK (Software Kit Development) utilisés par l’application, laquelle ouvrait la voie à une attaque Man-in-the-middle (MITM), technique consistant à intercepter les communications entre deux entités. De ce fait, un hacker est en mesure d’introduire un logiciel malveillant pour récolter des données ou exiger une rançon financière (ransomware).

Le Pocophone F1 de Xiaomi. // Crédit photo : GEEK KAZU via Flickr.

Pour comprendre le procédé du piratage, une explication s’impose quant au fonctionnement de Guard Provider. Comme la majorité des applications, Security, de son second nom, fait appel à une série de SDK : Avast, AVL et Tencent, en l’occurrence. Au moment de configurer l’app’ mobile, l’utilisateur sélectionne l’un des fournisseurs en tant que moteur antivirus par défaut qui analysera le téléphone dans la foulée.

Merci qui ? Merci HTTP

Il s’avère que Guard Provider met régulièrement à jour sa base de données virale, celle qui référence les derniers virus existants. Sauf que le mécanisme de mise à jour utilise une connexion HTTP : elle n’est donc pas sécurisée. En se connectant au même réseau Wifi que sa victime — sur un lieu public, à titre d’exemple –, le pirate peut alors détecter le minutage de la mise à jour et, pour simplifier les choses, intercepter les communications établies pour y intégrer un code malveillant exécuté dans la foulée par le téléphone.

Check Point a rapidement (et secrètement) contacté Xiaomi pour présenter leurs trouvailles, lesquelles ont permis au fabricant de corriger le défaut avant que la faille ne soit publique. Le fait est que des millions de smartphones estampillés Xiaomi demeuraient vulnérables pendant plusieurs années, bien que le procédé d’attaque soit réservé aux hackers rompus aux piratages mobiles.

Partager sur les réseaux sociaux