20 nouvelles vulnérabilités « constituent une menace pour tous les utilisateurs de Xiaomi », préviennent les chercheurs
Les utilisateurs de Xiaomi sont invités à mettre à jour leurs appareils après que les chercheurs ont découvert une série de vulnérabilités. (Illustration photo par Rafael Henrique/SOPA Images/LightRocket via Getty Images)
SOPA Images/LightRocket via Getty Images
XLes smartphones iaomi présentent de nombreuses failles de sécurité qui pourraient permettre aux pirates informatiques de voler des mots de passe et de compromettre les comptes de réseaux sociaux, selon des chercheurs en cybersécurité. Les 20 vulnérabilités sont liées au déploiement par l’entreprise chinoise du système d’exploitation Android de Google. Xiaomi a corrigé les failles et les utilisateurs doivent mettre à jour leur téléphone dès que possible.
Les failles ont affecté un large éventail de logiciels exécutés sur les appareils Xiaomi, depuis l’application de configuration jusqu’à son logiciel Bluetooth, a déclaré Sergey Toshin, fondateur d’Oversecured, la startup de sécurité mobile qui a découvert les faiblesses. Les failles les plus dangereuses pourraient être exploitées pour accorder à un attaquant des privilèges système, a déclaré Toshin. Forbes, permettant le vol des mots de passe des utilisateurs et l’accès aux fichiers des utilisateurs privés. Cependant, Toshin ne pense pas que les faiblesses aient été exploitées par des pirates informatiques malveillants.
Xiaomi doit investir davantage de ressources dans la sécurité de ses appareils.
Il a déclaré que si un pirate informatique avait voulu exploiter les faiblesses les plus graves, il tenterait probablement d’installer une application malveillante sur un téléphone Xiaomi, soit par phishing, soit en poussant des applications malveillantes sur des marchés comme Google Play. À partir de là, un pirate informatique pourrait utiliser l’application pour exploiter l’une des faiblesses et faire des choses comme intercepter les messages des réseaux sociaux des victimes, récolter les contacts des utilisateurs et collecter des informations sur leurs appareils Bluetooth connectés, a déclaré Toshin.
Oversecured a révélé les failles à Xiaomi la semaine dernière après les avoir testées sur un Xiaomi 13 Ultra. Nous pensons que chaque appareil était vulnérable depuis [the flaws] font partie du firmware, a déclaré Toshin. Il a déclaré que la société chinoise avait corrigé les vulnérabilités en une semaine. Xiaomi a confirmé avoir corrigé toutes les vulnérabilités.
Il a déclaré que Xiaomi pourrait être en mesure d’éviter des problèmes importants s’il offrait des récompenses plus importantes aux pirates dans le cadre de son programme de bug bounty, qu’il gère sur la plate-forme HackerOne. Selon les données de HackerOne, son paiement moyen se situe entre 80 et 100 dollars, et ses pirates ont récompensé 2 600 dollars au cours des 90 derniers jours. À titre comparatif, Google a versé 3,4 millions de dollars aux chercheurs en sécurité Android en 2023.
Un porte-parole de Xiaomi a déclaré que la société disposait d’une équipe de sécurité de pointe et travaillait avec Google et Hackerone pour créer des systèmes Android sécurisés. Mais Toshin a déclaré que les paiements actuels de Xiaomi étaient nettement inférieurs à ceux de Google et que Xiaomi devait investir davantage de ressources dans la sécurité de ses appareils.
PLUS DE FORBES