Xiaomi : les navigateurs web vulnérables à l'usurpation d'identité

le 09 avril 2019
 0
Xiaomi Redmi Note 7

Une faille de sécurité mise au jour dans les navigateurs web de Xiaomi permet à des pirates d'usurper l'identité de sites web. Cette dernière, qui vient d'être corrigée par le géant chinois de l'électronique, laisse notamment le champ libre à des campagnes de phishing ainsi qu'aux réorientations de trafic vers des pages web corrompues.

C'est le chercheur en sécurité Arif Khan qui est à l'origine de cette fâcheuse découverte. Dans une note de blog, repérée par nos confrères de 01Net, l'intéressé détaille l'ampleur de sa trouvaille. On y apprend notamment que les navigateurs web MI Browser et Mint Browser de Xiaomi sont l'un comme l'autre concernés. Le premier est le navigateur proposé par défaut sur l'ensemble des smartphones Xiaomi Mi et Redmi, tandis que le second est téléchargeable sur Google Play.

Des millions d'utilisateurs concernés... mais aucun en Chine


En clair, et comme l'a détaillé Arif Khan dans une vidéo de démonstration, les navigateurs MI Browser et Mint Browser de Xiaomi n'afficheront que « www.google.com » pour une requête complète comportant, par exemple, l'intitulé douteux « https://www.evilsite.com?q=www.google.com ». De quoi permettre à des pirates de renvoyer de nombreux utilisateurs sur des sites web au mieux compromis, au pire entièrement corrompus... avec toutes les retombées que cela implique en termes de sécurité.



Comme le précise 01Net, cette faille (répondant au nom de CVE-2019-10875) impacte en l'état les millions d'utilisateurs de smartphones estampillés Xiaomi Mi et Redmi. Ces derniers peuvent notamment être ciblés par des campagnes de phishing et de publicité.

Plus intrigant peut-être, Arif Khan avance que cette faille ne concernerait pas les utilisateurs de smartphones Xiaomi distribués en Chine. L'expert en sécurité va même plus loin en sous-entendant que cette vulnérabilité aurait été intégrée à dessein par Xiaomi sur les mobiles voués à être vendus à l'international. Une hypothèse qui reste toutefois à être dûment prouvée.

Xiaomi est au courant, un patch est en cours de déploiement


Contacté ce 5 avril par The Hacker News, Xiaomi a confirmé être au courant de la présence de cette faille au sein de ses navigateurs. Il aura toutefois fallu attendre ce lundi 8 avril pour qu'un porte-parole de la marque indique au site spécialisé qu'un patch avait été déployé au travers de deux mises à jour destinées aux navigateurs MI Browser et Mint Browser.

Dans son communiqué, ce porte-parole s'est contenté de déclarer que ce bug est « la conséquence d'une fonctionnalité additionnelle ». Cette dernière visait « à améliorer l'expérience utilisateur en cachant l'URL complète, pour ne faire apparaître que les termes de la recherche », apprend-on.

Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Selon cette enquête, les femmes progresseraient plus vite que les hommes à Dota 2
Découvrez IA4EU, la plateforme européenne collaborative sur l'intelligence artificielle
See You Yesterday : Netflix dévoile la bande-annonce du film de Spike Lee
Linux on DeX est désormais compatible avec le Galaxy S9, S10 et Tab S5e
Pour iCloud, entre autres, Apple verse plus de 30 millions chaque mois à AWS
Hideo Kojima, créateur de Metal Gear, tease un gros projet lié au cloud gaming
Après Thanos, Fortnite et Marvel vont de nouveau s'associer autour des Avengers
🔥 Bon plan : casque Bluetooth TaoTronics à réduction de bruit active à 48,99€ au lieu de 69,99€
Jeu vidéo : de plus en plus d'offres à pourvoir chaque année en France
Huawei : la CIA s'en mêle et signale un financement par l'agence de sécurité chinoise
Kodi
⚡ Bon plan : HooToo Hub USB C avec Charge Type C à 24,99€ au lieu de 39,99€
Les finances de Spotify sont dans le vert pour la première fois depuis sa création
Byte, le successeur spirituel de Vine, commence à recruter pour sa bêta
NVIDIA : les GTX 1660 Ti et 1650 intégrées à plus à 80 modèles de laptops dès aujourd’hui
scroll top