Les smartphones Xiaomi sont-ils de véritables passoires ? Un chercheur en sécurité a découvert une faille de sécurité dans les navigateurs du géant chinois pouvant faciliter les tentatives de phishing des pirates.

Xiaomi Redmi Note 7 pour illustration

Coup dur pour Xiaomi qui est la cible des chercheurs en sécurité en ce moment. Après l’application du constructeur liée à la sécurité, c’est au tour de ses navigateurs web d’être pointés du doigt. Ceux-ci présentent une faille de sécurité permettant à un site malintentionné de se faire passer pour ce qu’il n’est pas.

Découverte par le chercheur Arif Khan, cette faille CVE-2019-10875 permet de tromper un utilisateur en modifiant l’URL affichée dans la barre d’adresse des navigateurs Mi Browser — intégré nativement sur tous les smartphones de la marque — et Mint Browser. Pour cela, il suffit de rajouter une variable ?q= dans l’URL, suivie d’une adresse existante. Par exemple, l’URL http://www.frandroid.com/?q=www.facebook.com affiche la page d’accueil de FrAndroid, mais sous l’URL du fameux réseau social.

On peut donc imaginer un pirate envoyant un lien à un utilisateur en se faisant pour ce qu’il n’est pas et en demandant à sa victime de cliquer sur un lien ressemblant à celui de sa banque ou de son fournisseur d’accès par exemple pour récupérer des informations privées.

Cette faille touche la totalité des smartphones Xiaomi disponibles, y compris les plus récents comme le Xiaomi Mi 9 ou le Redmi Note 7. Bien qu’averti du problème, Xiaomi a confirmé à The Hacker News que la faille n’avait toujours pas été patchée, ce que nous avons rapidement constaté (voir screenshot ci-dessus).

Un point soulève par ailleurs les inquiétudes des conspirationnistes : cette faille ne toucherait que les smartphones commercialisés à l’international et non ceux proposés en Chine. D’aucuns y voient donc un problème volontairement laissé, d’aucuns que Xiaomi a payé le chercheur en sécurité pour sa découverte (comme c’est de coutume lors de la découverte d’une faille de sécurité), mais ne semble pas agir pour la corriger.

Comment se protéger ?

Sachant que cette faille est liée à une application et non directement au système, il suffit pour s’en protéger d’utiliser un autre navigateur internet tel que Google Chrome ou Firefox par exemple. N’hésitez pas à jeter un œil à notre sélection.

Notre sélection des meilleurs navigateurs Internet sur Android