Une vulnérabilité critique concernant deux produits Xiaomi

Une vulnérabilité critique a été trouvée par le chercheur en sécurité informatique Arif Khan concernant deux produits Xiaomi. Cette vulnérabilité porte sur le navigateur web « Mi Browser » intégré aux téléphones Xiaomi, ainsi que le navigateur « Mint Browser » disponible sur le magasin d’applications pour téléphones Android « Google Play Store ».

Xiaomi est une entreprise chinoise d'électronique et d'informatique, basée à Pékin et spécialisée dans la téléphonie mobile et l'électronique grand public. Elle représente presque 9 % du marché des ordiphones (« smartphone ») dans le monde ; plusieurs millions d’utilisateurs peuvent ainsi être impactés.

Cette vulnérabilité permet à un attaquant de se faire passer pour un site internet et de voler des identifiants ou des informations personnelles en les demandant simplement à l’utilisateur par un tour de passe-passe dans l'URL. 

 Xiaomi a tenté de corriger la vulnérabilité pour « Mint browser » mais cela a été contourné deux fois de suite. La dernière version de MI Browser ne semble pas atteinte.

Détails techniques :

• CVE-2019-10875 [ CVSS V3 6.5 ] : La vulnérabilité permet de tromper l’utilisateur navigant sur internet en affichant une « URL » ( « Uniform Resource Locator », c’est un identifiant unique permettant d’accéder à une ressource sur internet, par exemple « https://www.cyberveille-sante.gouv.fr/ ») modifiée. Ainsi, un attaquant, à partir d’une « URL » tel que « site-malveillant.com/ ?=https://www.cyberveille-sante.gouv.fr/  », peut se faire passer pour la plateforme cyberveille aux yeux de l’utilisateur. En effet, il sera affiché à l'utilisateur uniquement «https://www.cyberveille-sante.gouv.fr//». Il est ainsi aisé pour un attaquant de se faire passer pour un site légitime et de voler des informations critiques tels que des identifiants ou des informations personnelles en les demandant simplement à l’utilisateur.