La semaine dernière, un étudiant des Pays-Bas découvrait dans son Xiaomi Mi 4 la présence d’une véritable backdoor qui permettait au constructeur d’installer et de réinstaller une application chaque jour. AnalyticsCore.apk a en effet été découverte par l’étudiant dans son téléphone. Or, en la supprimant, il a eu l’étrange surprise de voir que le lendemain, elle avait été réinstallée automatiquement. Inquiet après cette découverte, Thijs Broenink a voulu comprendre ce qui se cachait derrière cette application.
En l’inspectant, le jeune homme découvre que l’application communique toutes les 24 heures avec les serveurs chinois de Xiaomi et qu’elle a la faculté de se mettre à jour toute seule si une version plus récente est présente sur les serveurs. C’est pour cela que celle-ci est impossible à supprimer des téléphones de la marque, puisque dès lors qu’une suppression est effective, le téléphone va réinstaller la dernière version disponible. Une application cachée et des mises à jours qui sont opérés silencieusement dont l’utilisateur n’est jamais averti.
L’application envoie selon l’étudiant des données telles que le modèle, le numéro IMEI et l’adresse MAC du smartphone. Thijs explique alors : « à partir du moment où ils ont votre IMEI et le modèle de téléphone, [Xiaomi] peut installer n’importe quel APK spécifique à votre téléphone »
Le problème si l’on ne prête à Xiaomi aucune intention particulièrement malveillante est que la présence d’une backdoor dans un smartphone n’est jamais sûre. Et que des pirates pourraient par exemple utiliser ce lien entre la marque et ses appareils pour remplacer l’application originale par un malware.
Devant un tel scandale technologique, la marque chinoise a finalement pris la peine de démentir auprès de The Hacker News les allégations faites par le jeune hollandais. Ainsi, un porte-parole explique : « AnalyticsCore est un composant du système MIUI [Version d’Android modifiée par Xiaomi] qui est utilisé par le système d’exploitation afin de proposer des analyses de données afin d’améliorer l’expérience utilisateur. Ainsi, elle est utile à MIUI Error Analytics [système de rapports de bug]. Afin de sécuriser ce procédé, MIUI vérifie la signature de l’apk durant l’installation et les mises à jour pour s’assurer que seule la version officielle, avec la signature correcte, sera installée. Toute autre APK sans cette signature serait dans l’incapacité de s’installer. AnalyticsCore étant une clef pour assurer l’expérience utillisateur, l’application est capable de se mettre à jour automatiquement. Depuis MIUI 7.3, le protocole HTTPS a été activé afin de garantir un transfert sécurisé des données et prévenir des attaques humaines. »
Xiaomi ne s’est pas donc pas exprimé sur sa propre capacité à installer des applications silencieusement sur les smartphones mais tente de donner des gages de sécurité technologique. La confiance accordée à la startup est donc le seul recours pour les utilisateurs inquiets… Plutôt maigre.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !