Xiaomi donne une justification à sa backdoor... et tente de rassurer - Tech - Numerama

Ldfa · le 30 décembre 2019

Le constructeur chinois était éclaboussé la semaine dernière par la découverte dans sa version d'Android d'une porte dérobée lui permettant d'installer une application qui transmettait en clair des données à ses serveurs chinois. La firme tente de s'en expliquer.

La semaine dernière, un étudiant des Pays-Bas découvrait dans son Xiaomi Mi 4 la présence d’une véritable backdoor qui permettait au constructeur d’installer et de réinstaller une application chaque jour. AnalyticsCore.apk a en effet été découverte par l’étudiant dans son téléphone. Or, en la supprimant, il a eu l’étrange surprise de voir que le lendemain, elle avait été réinstallée automatiquement. Inquiet après cette découverte, Thijs Broenink a voulu comprendre ce qui se cachait derrière cette application.

En l’inspectant, le jeune homme découvre que l’application communique toutes les 24 heures avec les serveurs chinois de Xiaomi et qu’elle a la faculté de se mettre à jour toute seule si une version plus récente est présente sur les serveurs. C’est pour cela que celle-ci est impossible à supprimer des téléphones de la marque, puisque dès lors qu’une suppression est effective, le téléphone va réinstaller la dernière version disponible. Une application cachée et des mises à jours qui sont opérés silencieusement dont l’utilisateur n’est jamais averti.

L’application envoie selon l’étudiant des données telles que le modèle, le numéro IMEI et l’adresse MAC du smartphone. Thijs explique alors : « à partir du moment où ils ont votre IMEI et le modèle de téléphone, [Xiaomi] peut installer n’importe quel APK spécifique à votre téléphone »

Le problème si l’on ne prête à Xiaomi aucune intention particulièrement malveillante est que la présence d’une backdoor dans un smartphone n’est jamais sûre. Et que des pirates pourraient par exemple utiliser ce lien entre la marque et ses appareils pour remplacer l’application originale par un malware.

Devant un tel scandale technologique, la marque chinoise a finalement pris la peine de démentir auprès de The Hacker News les allégations faites par le jeune hollandais. Ainsi, un porte-parole explique : « AnalyticsCore est un composant du système MIUI [Version d’Android modifiée par Xiaomi] qui est utilisé par le système d’exploitation afin de proposer des analyses de données afin d’améliorer l’expérience utilisateur. Ainsi, elle est utile à MIUI Error Analytics [système de rapports de bug]. Afin de sécuriser ce procédé, MIUI vérifie la signature de l’apk durant l’installation et les mises à jour pour s’assurer que seule la version officielle, avec la signature correcte, sera installée. Toute autre APK sans cette signature serait dans l’incapacité de s’installer. AnalyticsCore étant une clef pour assurer l’expérience utillisateur, l’application est capable de se mettre à jour automatiquement. Depuis MIUI 7.3, le protocole HTTPS a été activé afin de garantir un transfert sécurisé des données et prévenir des attaques humaines. »

Xiaomi ne s’est pas donc pas exprimé sur sa propre capacité à installer des applications silencieusement sur les smartphones mais tente de donner des gages de sécurité technologique. La confiance accordée à la startup est donc le seul recours pour les utilisateurs inquiets… Plutôt maigre.