Xiaomi : les navigateurs web vulnérables à l'usurpation d'identité

2
Xiaomi Redmi Note 7

Une faille de sécurité mise au jour dans les navigateurs web de Xiaomi permet à des pirates d'usurper l'identité de sites web. Cette dernière, qui vient d'être corrigée par le géant chinois de l'électronique, laisse notamment le champ libre à des campagnes de phishing ainsi qu'aux réorientations de trafic vers des pages web corrompues.

C'est le chercheur en sécurité Arif Khan qui est à l'origine de cette fâcheuse découverte. Dans une note de blog, l'intéressé détaille l'ampleur de sa trouvaille. On y apprend notamment que les navigateurs web MI Browser et Mint Browser de Xiaomi sont l'un comme l'autre concernés. Le premier est le navigateur proposé par défaut sur l'ensemble des smartphones Xiaomi Mi et Redmi, tandis que le second est téléchargeable sur Google Play.

Des millions d'utilisateurs concernés... mais aucun en Chine

En clair, et comme l'a détaillé Arif Khan dans une vidéo de démonstration, les navigateurs MI Browser et Mint Browser de Xiaomi n'afficheront que « www.google.com » pour une requête complète comportant, par exemple, l'intitulé douteux « https://www.evilsite.com?q=www.google.com ». De quoi permettre à des pirates de renvoyer de nombreux utilisateurs sur des sites web au mieux compromis, au pire entièrement corrompus... avec toutes les retombées que cela implique en termes de sécurité.



Comme le précise 01Net, cette faille (répondant au nom de CVE-2019-10875) impacte en l'état les millions d'utilisateurs de smartphones estampillés Xiaomi Mi et Redmi. Ces derniers peuvent notamment être ciblés par des campagnes de phishing et de publicité.

Plus intrigant peut-être, Arif Khan avance que cette faille ne concernerait pas les utilisateurs de smartphones Xiaomi distribués en Chine. L'expert en sécurité va même plus loin en sous-entendant que cette vulnérabilité aurait été intégrée à dessein par Xiaomi sur les mobiles voués à être vendus à l'international. Une hypothèse qui reste toutefois à être dûment prouvée.

Xiaomi est au courant, un patch est en cours de déploiement

Contacté ce 5 avril par The Hacker News, Xiaomi a confirmé être au courant de la présence de cette faille au sein de ses navigateurs. Il aura toutefois fallu attendre ce lundi 8 avril pour qu'un porte-parole de la marque indique au site spécialisé qu'un patch avait été déployé au travers de deux mises à jour destinées aux navigateurs MI Browser et Mint Browser.

Dans son communiqué, ce porte-parole s'est contenté de déclarer que ce bug est « la conséquence d'une fonctionnalité additionnelle ». Cette dernière visait « à améliorer l'expérience utilisateur en cachant l'URL complète, pour ne faire apparaître que les termes de la recherche », apprend-on.

Modifié le 26/11/2020 à 09h34
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
0
Voir tous les messages sur le forum

Actualités du moment

Firefox va bloquer les incessantes requêtes d'authentification des sites douteux
Opera 60, nom de code Reborn 3 : Web 3, VPN et bloqueur de pub
Google promet de mieux sécuriser Google Play (et donc Android)
Routeur 5G, caméra Wi-Fi, éco-business… Entretien avec Marilyne Michel (D-Link)
La Chine pourrait bannir le cryptominage, qu'elle juge être du
Microsoft propose enfin la première bêta de son nouveau navigateur Edge
🔥 7 jours Sony chez Cdiscount : Les 7 promos PS4, smartphone, casque et home cinéma à prix cassés
Google a déjà démantelé son conseil éthique sur l'IA créé... la semaine dernière
Viber : vous pouvez maintenant disposer d'un numéro américain, britannique ou canadien
Taxe GAFA : pourquoi certains géants français sont exemptés ?
Haut de page