Xiaomi : les navigateurs web vulnérables à l'usurpation d'identité

Une faille de sécurité mise au jour dans les navigateurs web de Xiaomi permet à des pirates d'usurper l'identité de sites web. Cette dernière, qui vient d'être corrigée par le géant chinois de l'électronique, laisse notamment le champ libre à des campagnes de phishing ainsi qu'aux réorientations de trafic vers des pages web corrompues.

C'est le chercheur en sécurité Arif Khan qui est à l'origine de cette fâcheuse découverte. Dans une note de blog, l'intéressé détaille l'ampleur de sa trouvaille. On y apprend notamment que les navigateurs web MI Browser et Mint Browser de Xiaomi sont l'un comme l'autre concernés. Le premier est le navigateur proposé par défaut sur l'ensemble des smartphones Xiaomi Mi et Redmi, tandis que le second est téléchargeable sur Google Play.

Des millions d'utilisateurs concernés... mais aucun en Chine

En clair, et comme l'a détaillé Arif Khan dans une vidéo de démonstration, les navigateurs MI Browser et Mint Browser de Xiaomi n'afficheront que « www.google.com » pour une requête complète comportant, par exemple, l'intitulé douteux « https://www.evilsite.com?q=www.google.com ». De quoi permettre à des pirates de renvoyer de nombreux utilisateurs sur des sites web au mieux compromis, au pire entièrement corrompus... avec toutes les retombées que cela implique en termes de sécurité.



Comme le précise 01Net, cette faille (répondant au nom de CVE-2019-10875) impacte en l'état les millions d'utilisateurs de smartphones estampillés Xiaomi Mi et Redmi. Ces derniers peuvent notamment être ciblés par des campagnes de phishing et de publicité.

Plus intrigant peut-être, Arif Khan avance que cette faille ne concernerait pas les utilisateurs de smartphones Xiaomi distribués en Chine. L'expert en sécurité va même plus loin en sous-entendant que cette vulnérabilité aurait été intégrée à dessein par Xiaomi sur les mobiles voués à être vendus à l'international. Une hypothèse qui reste toutefois à être dûment prouvée.

Xiaomi est au courant, un patch est en cours de déploiement

Contacté ce 5 avril par The Hacker News, Xiaomi a confirmé être au courant de la présence de cette faille au sein de ses navigateurs. Il aura toutefois fallu attendre ce lundi 8 avril pour qu'un porte-parole de la marque indique au site spécialisé qu'un patch avait été déployé au travers de deux mises à jour destinées aux navigateurs MI Browser et Mint Browser.

Dans son communiqué, ce porte-parole s'est contenté de déclarer que ce bug est « la conséquence d'une fonctionnalité additionnelle ». Cette dernière visait « à améliorer l'expérience utilisateur en cachant l'URL complète, pour ne faire apparaître que les termes de la recherche », apprend-on.

• Le Pixel 3a et bien d'autres accessoires dévoilés sur le Google Play Store, puis retirés
• Record pour le nouveau chargeur Xiaomi : une batterie de 4000mAh pleine en 17 minutes
• La trottinette Xiaomi M365 peut être piratée pour accélérer ou freiner subitement