Ces 20 vulnérabilités découvertes affectent les applications et les composants système de Xiaomi. La firme chinoise de Lei Jung n'a, pour l'heure, pas publié de correctif pour ces failles.
Avec plus de 40 millions de smartphones vendus au premier trimestre 2024, Xiaomi monte sur la 3e marche du podium des marques de mobiles, derrière Samsung et Apple. Mais cette vénérable place fragilise cependant ses utilisateurs.
Car tous sont potentiellement menacés par les 20 failles de sécurité qu'Oversecured, l'un des spécialistes des applications de sécurité pour smartphones, a découvertes en avril 2024. Ces failles sont d'autant plus dangereuses que Xiaomi, dont Clubic a testé le dernier-né, le 14 Ultra, pourtant prévenu et se disant au courant, n'a publié ni communiqué ni correctif concernant ces failles.
04 novembre 2024 à 11h40
Le SDK et l'application Bluetooth MIUI particulièrement vulnérables parmi les 20 failles découvertes
Sur leur blog, les chercheurs d'Oversecured ont dressé la liste des 20 vulnérabilités découvertes sur les mobiles Xiaomi, mais quelques-unes sont particulièrement critiques sur ce qu'elles impliquent pour l'utilisateur. On retiendra par exemple la redirection d'intention avec privilèges système, l'injection de commande Shell dans System Tracing, la possibilité de voler des fichiers arbitraires avec des privilèges système dans l'application de paramètres, mais également la divulgation de données de téléphone, de paramètres et de compte Xiaomi, ou encore des problèmes liés à la modification du code AOSP (Android Open Source Project) par Xiaomi.
Mais l'une des vulnérabilités les plus critiques découvertes par Oversecured sur les smartphones Xiaomi est liée à un problème de SDK (Software Development Kit) dans plusieurs applications de la firme. Cette faille autorise le hacker à lancer n'importe quelle fonctionnalité potentiellement sensible dans toutes les applications installées sur l'appareil de l'utilisateur.
Oversecured évoque également une faille de l'application Bluetooth MIUI qui permet d'intercepter des fichiers échangés et compromet donc sérieusement la sécurité des données personnelles des utilisateurs.
Xiaomi au courant, mais inactif : voici comment protéger vos smartphones
Si les chercheurs d'Oversecured indiquent dans leur rapport avoir signalé ces vulnérabilités à Xiaomi dans le délai imparti en avril 2024, la firme n'a pas encore réagi ni publié de correctif adéquat. C'est pourquoi il appartient pour le moment aux propriétaires de smartphones de la firme chinoise de rester très prudents et de suivre ces quelques conseils de bon sens pour protéger leurs données et leurs appareils.
En priorité, assurez-vous que votre téléphone exécute la dernière version du système d'exploitation MIUI. Xiaomi déploie régulièrement des mises à jour de sécurité pour corriger les vulnérabilités. Ensuite, vérifiez si des mises à jour sont disponibles pour les applications préinstallées et téléchargées depuis le Xiaomi App Store. Mettez à jour toutes les applications pour bénéficier des correctifs de sécurité.
Et plus généralement, propriétaire d'un mobile Xiaomi ou pas, soyez prudent avec les applications tierces, évitez de télécharger des applications provenant de sources non fiables. Utilisez uniquement des magasins d'applications officiels pour minimiser les risques. De même, désactivez les fonctionnalités inutiles. Par exemple, si vous n'utilisez pas certaines fonctionnalités telles que le Bluetooth ou le Wi-Fi, désactivez-les pour réduire les surfaces d'attaque potentielles.
Activez le chiffrement de l'appareil et utilisez un mot de passe ou un schéma de verrouillage sécurisé pour protéger vos données. Vérifiez les autorisations accordées aux applications. Révoquez celles qui semblent excessives ou suspectes. Et enfin, sauvegardez régulièrement vos données pour éviter toute perte en cas de problème de sécurité.
29 novembre 2024 à 15h14
Source : Oversecured