Selon les dernières recherches menées par la société de sécurité mobile BlueBox, les risques sécuritaires repérés dans les smartphones chinois et en particulier ceux de Xiaomi, le plus grand fabriquant  de smartphones du pays, pourraient être liés à un problème plus profond.

«Android est très populaire en Chine», souligne un rapport de BlueBox précisant que pratiquement 90% des smartphones en Chine fonctionnent avec le système d’exploitation Android.

Le problème de dépendance à Android en Chine est que « presque aucun de ces appareils n’utilise de version d’Android certifiée par Google».

En d’autres termes, tandis que 9 smartphones sur 10 en Chine fonctionnent avec Android, il est possible qu’aucun d’entre eux ne fonctionne avec une versions certifiée du système et c’est là que les problèmes commencent à émerger.

Selon Bluebox, utiliser une version non certifiée d’Android empêche d’utiliser les services de Google tels que le Google Play Store. Les appareils ne devront pas non plus passer les tests approuvés par Google et ils pourront donc être mis sur les marchés avec des vulnérabilités connues pour lesquelles Google a déjà créé des extensions.

Des chercheurs de BlueBox se sont récemment rendus en Chine où ils ont acheté un des plus populaires smartphones de Xiaomi - le nouveau Mi 4 LTE -  et l’ont ramené dans leurs laboratoires numériques pour le soumettre à des tests.

Ils voulaient vérifier deux choses. D’abord, ils voulaient savoir si le téléphone était une contrefaçon ou un véritable appareil de Xiaomi. Enfin, ils voulaient voir quels types de programmes malveillants ou de vulnérabilités l’appareil pouvait contenir.

Après le premier test, ils ont déterminé que «notre Xiaomi Mi4 LTE était en fait légitime».

Cependant, le second test a donné un résultat bien différent. L’appareil présentait des vulnérabilités et des logiciels potentiellement dangereux.

Xiaomi n’a pas tout de suite répondu aux questions adressées par courriel relatives à ces  allégations.

Des risques pour les  utilisateurs

Selon les experts de BlueBox, après avoir scanné le smartphone avec des détecteurs de programmes malveillants et des antivirus,  «nous avons trouvé six applications suspectes qui peuvent être considérées comme des logiciels malveillants, espions ou commerciaux...»

Une de ces applications était un logiciel malveillant appelé «Yt Service» qui peut, entres autres choses, fournir des publicités non désirées à l’appareil. Il était camouflé en application sûre vérifiée par Google, dans un fichier appelé «com.google.hfapservice».

Parmi d’autres applications infectées sur le téléphone Xiaomi, «PhoneGuardService» est, selon BlueBox, «classé comme cheval de Troie». Une autre application appelée «Appstats» a été classifiée à risque et une autre encore appelée «SMSreg» a été classée comme logiciel malveillant.

Au sujet des vulnérabilités, les chercheurs ont précisé que «non seulement l’appareil était sensible à toutes les vulnérabilités pour lesquelles nous l’avons scanné (à l’exception de Heartbleed qui ne pouvait affecter que la version 4.1.1), mais il était également «rooté» et possédait un mode de débogage sur support USB activé sans dialogue approprié avec un ordinateur connecté».

Le «mode de débogage sur support USB» est important, parce que Xiaomi Mi 4 LTE prétend être  livré avec Androïd 4.4.4, «qui devrait obliger l’appareil Androïd à demander l’autorisation manuelle de se connecter avec un ordinateur inconnu.»

Un téléphone Android qui a été «rooté» est similaire à un IPhone qui a été «jailbroken» ou débloqué. Le téléphone peut ainsi être modifié avec un nouveau code ou des logiciels non prévus par les développeurs. Cela ouvre également le téléphone aux logiciels malveillants et annule la garantie sur les appareils fonctionnant avec des versions légitimes d’Android.

Ce n’est pas la première fois que l’on découvre que les smartphones Xiaomi espionnent les utilisateurs .

En juillet 2014, un utilisateur a trouvé que le Redmi Note de Xiaomi essayait de se connecter à une adresse IP à Pékin et a continué de le faire même après qu’il a essayé d’effacer et d’installer une nouvelle version d’Android. L’utilisateur, a publié ses découvertes sur le site d’IMA Mobile de Hong Kong.

En août 2014, l’entreprise de sécurité F-Secure avait déjà enquêté sur ces allégations et avait trouvé que les téléphones de Xiaomi contenaient des logiciels cachés qui volaient les données de l’utilisateur et les envoyait vers un serveur en Chine.

Absence d’intégrité

Les chercheurs de BlueBox ont affirmé avoir essayé d’informer Xiaomi de leurs découvertes avant de publier  leurs conclusions, mais n’ont pas reçu de réponse. Xiaomi a cependant réagi après la publication des conclusions.

Xiaomi a prétendu qu’ils étaient «sûrs» que l’appareil utilisé pour le test avait été truqué. Ils ont revendiqué ne pas «pré-installer de services tels que YT Service, PhoneGuardService,  AppStat, etc.»

Ils ont ajouté que Xiaomi «ne vend pas de téléphones via des détaillants tiers en Chine» et ont affirmé ne commercialiser leurs téléphones que dans leurs magasins officiels.

BlueBox a réagi par deux questions. La première : comment les utilisateurs  peuvent-ils faire confiance aux appareils si Xiaomi «ne peut pas garantir leurs intégrité de la production à la vente».

«Si un fabricant propose un appareil qui peut ensuite être modifié par un détaillant ou une autre personne dans la chaîne de distribution, comment les organisations peuvent-elle faire confiance à la sécurité de l’appareil et à la réputation de la marque?»

BlueBox a également demandé pourquoi Xiaomi n’avait pas répondu quand ils ont alerté l’entreprise sur ces failles sécuritaires.

Xiaomi a répondu qu’ils «enquêtaient» pour découvrir pourquoi ils n’avaient pas reçu les avertissements envoyés par BlueBox.

Version originale: New Xiaomi Mi 4 LTE Smartphones Are Sold With Spyware, Say Researchers