Sur les vingt vulnérabilités identifiées dans les applications de Xiaomi, toutes ont été signalées à l’entreprise entre le 25 et le 30 avril de l’année précédente. Un porte-parole de Xiaomi a affirmé que toutes les failles avaient été corrigées : « La sécurité des données et la vie privée de nos utilisateurs sont notre priorité absolue. Xiaomi a remédié à toutes les vulnérabilités signalées par l’équipe d’Oversecured et a garanti qu’aucun utilisateur n’est exposé au risque posé par ces vulnérabilités ». Le constructeur ajoute qu’« il est toujours conseillé aux utilisateurs de mettre à jour leurs appareils avec la dernière version du logiciel qui propose des mises à jour de sécurité ».
Xiaomi règle rapidement ses comptes
Ces vulnérabilités comprenaient un accès avec des privilèges système, le vol de fichiers également avec des privilèges système, et la divulgation de données téléphoniques, de paramètres et de comptes Xiaomi. Plusieurs des problèmes identifiés provenaient de modifications mal gérées du code AOSP par Xiaomi, affectant des applications comme la localisation, les réglages et les services cellulaires.
Du côté de Google, six vulnérabilités ont été repérées par Oversecured, dont deux spécifiques aux appareils Pixel. Ces problèmes ont également été abordés par Google. Parmi eux, on trouve un accès non autorisé à la géolocalisation de l’utilisateur via l’appareil photo et des failles dans la gestion des permissions de Bluetooth. Ces vulnérabilités montrent que même Google modifie le code d’AOSP pour le développement de ses dispositifs, ce qui entraînera des risques de sécurité supplémentaires.
« C’est très typique pour Android », explique Sergey Toshin, le CEO d’Oversecured. « C’est une grande illusion de croire qu’Android est un système d’exploitation open source. Oui, une partie du code est open source, mais même Google ne l’utilise pas sous sa forme originale ».
En réponse aux inquiétudes soulevées par ces découvertes, un porte-parole de Google a déclaré : « La sécurité des utilisateurs est une priorité absolue et nous nous engageons à traiter rapidement les vulnérabilités et à publier des correctifs aussi rapidement que possible ». Une déclaration qui n’étonnera personne. « Nous apprécions grandement le travail de la communauté de recherche en sécurité qui aide à identifier les vulnérabilités et à protéger l’écosystème Android ».
Google assure que son processus de développement de correctifs est « aussi rapide que possible ». Mais dans certains cas, l’entreprise a besoin de temps pour boucher une vulnérabilité. Il faut dire que le moteur de recherche prend parfois son temps : une faille dévoilée en février 2022 par Oversecured a mis plus d’un an à être corrigée, et uniquement parce que la faille était publiquement connue. « Nous respectons les ingénieurs de Google, mais il est clair que leur approche de la sécurité a besoin d’une à jour », indique Sergey Toshin.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
