Il y a quelques jours, la société en sécurité des données Bluebox a publié un rapport concernant ses trouvailles suite à leurs tests du smartphone Xiaomi Mi 4. Des résultats pas très réjouissants pour le constructeur chinois derrière le smartphone. En effet, non seulement l’entreprise à découvert un logiciel malveillant installé sur le dispositif, mais en plus, un publiciel se faisait pour une application Google sans compter le fait que le téléphone présentait plusieurs failles de sécurité. De plus, le système d’exploitation tournant sur le dispositif a été identifié comme une version non certifiée Android. Il s’agit d’un système basé en grande partie sur le fork Android MIUI.Bluebox a rappelé trois implications majeures au fait qu’un smartphone fasse usage d’une version non certifiée d’Android : tout d’abord, cela signifie qu’il n’est pas autorisé à utiliser des services Google y compris sa vitrine de téléchargements Google Play (le Mi4 a sa propre plateforme de téléchargements). Ensuite, les dispositifs ne sont pas tenus de passer la batterie de tests d’approbation de Google avant que le dispositif ne soit mis sur le marché. Enfin, les dispositifs peuvent être distribués avec des failles connues dans la sécurité (qui ont été colmatées dans les versions certifiées par Google).
« Nous avons effectué plusieurs tests à la recherche des malwares les plus répandus ainsi que de nombreux scan antivirus sur le Mi 4 pour déterminer si des applications douteuses étaient préinstallées dans le dispositif. Nous avons utilisé plusieurs scanners pour compiler une liste compréhensive puisque certains scanners ne retournaient rien et d’autres taguaient des applications différentes. À la fin, nous avons trouvé six applications suspectes qui pouvaient être considérées comme étant des malwares, spyware ou adware » a expliqué l’expert en sécurité.
Concernant la sécurité de l’appareil en elle-même, Bluebox note que « non seulement le dispositif a été trouvé vulnérable à toutes les vulnérabilités que nous avons recherchées (exception faite d’Heartbleed qui était vulnérable seulement avec Android 4.1.1), mais en plus, il était rooté et avais un mode débogage USB activé sans être préparé à communiquer avec un ordinateur ». Le système en lui-même s’identifie comme étant Android Kitkat 4.4.4, pourtant quelques bizarreries et conflits qui ont emmené les chercheurs à se demander si le build de ce software a été conçu pour des tests ou pour le consommateur final : par exemple, le système ressemblait à une combinaison de KitKat et de précédentes versions et la majorité des failles de sécurité ainsi que des bogues ont été directement reliés à d’anciennes versions Android.
Le rapport de Bluebox a été publié jeudi dernier, après qu’ils aient certifié avoir reçu des réponses du constructeur chinois. Pourtant, par la voix de son vice-président Hugo Barra, Xiaomi a expliqué qu’il pense que les tests Bluebox « n’ont pas utilisé un MIUI ROM standard, puisque notre build ROM et OTA ROM ne sont jamais rootés et nous ne préinstallons pas des services comme YT Service, PhoneGuardService, AppStats, etc. ». Le responsable a indiqué que Bluebox a acheté son Mi4 à un revendeur physique en Chine et aurait donc pu avoir en sa possession une contrefaçon. Bluebox, qui n’a pas été totalement convaincu, a alors déclaré « travailler de concert avec Xiaomi pour obtenir des clarifications suite à certains résultats ».
Ce n’est qu’hier que Bluebox a mis à jour ses découvertes en admettant qu’il s’agit bel et bien d’une contrefaçon « très réussie » ; « le niveau de détail dans cette contrefaçon qui ressemblait et se comportait comme l’original était extraordinaire. Elle avait les mêmes structures internes, la batterie et les étiquettes sur les composants qui sont généralement utilisés par des personnes en ligne pour déterminer l’authenticité d’un dispositif s’il n’est pas allumé ». Et de préciser que la quantité d’effort qui a été fourni pour déterminer l’authenticité du dispositif est bien au-delà des capacités du client lambda qui pourra chercher à se rassurer de son achat.
« Avec le vaste marché parallèle des dispositifs mobiles en Chine, non seulement, il arrive que des parties tierces falsifient le logiciel vendu sur les smartphones, mais en plus, il y a des produits contrefaits qui sont presque indiscernables des produits originaux dehors. Ceci arrive indépendamment de la marque, affectant à la fois les entreprises chinoises et étrangères qui vendent des smartphones en Chine » a expliqué Xiaomi. Plus de peur que de mal donc au final.
Source : Bluebox
