Une vulnérabilité critique concernant deux produits Xiaomi

Une vulnérabilité critique a été trouvée par le chercheur en sécurité informatique Arif Khan concernant deux produits Xiaomi. Cette vulnérabilité porte sur le navigateur web « Mi Browser » intégré aux téléphones Xiaomi, ainsi que le navigateur « Mint Browser » disponible sur le magasin d’applications pour téléphones Android « Google Play Store ».

Xiaomi est une entreprise chinoise d'électronique et d'informatique, basée à Pékin et spécialisée dans la téléphonie mobile et l'électronique grand public. Elle représente presque 9 % du marché des ordiphones (« smartphone ») dans le monde ; plusieurs millions d’utilisateurs peuvent ainsi être impactés.

Cette vulnérabilité permet à un attaquant de se faire passer pour un site internet et de voler des identifiants ou des informations personnelles en les demandant simplement à l’utilisateur par un tour de passe-passe dans l'URL. 

 Xiaomi a tenté de corriger la vulnérabilité pour « Mint browser » mais cela a été contourné deux fois de suite. La dernière version de MI Browser ne semble pas atteinte.

Détails techniques :

  • CVE-2019-10875 [ CVSS V3 6.5 ] : La vulnérabilité permet de tromper l’utilisateur navigant sur internet en affichant une « URL » ( « Uniform Resource Locator », c’est un identifiant unique permettant d’accéder à une ressource sur internet, par exemple « https://www.cyberveille-sante.gouv.fr/ ») modifiée. Ainsi, un attaquant, à partir d’une « URL » tel que « site-malveillant.com/ ?=https://www.cyberveille-sante.gouv.fr/  », peut se faire passer pour la plateforme cyberveille aux yeux de l’utilisateur. En effet, il sera affiché à l'utilisateur uniquement «https://www.cyberveille-sante.gouv.fr//». Il est ainsi aisé pour un attaquant de se faire passer pour un site légitime et de voler des informations critiques tels que des identifiants ou des informations personnelles en les demandant simplement à l’utilisateur.
Informations
+

Risques

  • Atteinte à la confidentialité des données

Criticité

  • Score CVSS : 6.5

Existence d’un code d’exploitation de la vulnérabilité

  • L’exploitation de cette vulnérabilité est très peu complexe. Plusieurs démonstrations de preuve de faisabilité sont présentes sur internet.

Composants & versions vulnérables

  • Xiaomi Mi browser 10.5.6-g present sur les téléphones Xiaomi Mi et Redmi
  • Mint Browser 1.6.4 et inférieure

CVE

  • CVE-2019-10875

Recommandations
+

Mise en place de correctif de sécurité

Plusieurs tentatives de correctif ont été faites pour « Mint Browser » à travers les versions 1.6.3 et 1.6.4 mais très vite contournées.

La dernière version 10.6.1 de Mi Browser ne semble pas affectée.

Solution de contournement

Il est recommandé de ne plus utiliser Mint Browser tant qu’un correctif définitif n’est disponible ainsi que de mettre à jour Mi Browser.

Il est également important de rester vigilant sur internet par rapport aux sites visités et aux informations données.