Pixel 4 vs iPhone 11 Pro : QUI EST LE PLUS FORT ? (COMPARATIF)
Table des matières:
- Problèmes de sécurité détectés par eScan
- GT a également testé la vulnérabilité de la sécurité
- Test de l'application de sécurité
- Test Mi Mover
- Ce que dit Xiaomi
Le monde en pleine expansion d'Internet est assombri par de nombreuses vulnérabilités en matière de sécurité. EScan Antivirus, basé en Inde, a publié un rapport suggérant plusieurs failles de sécurité détectées sur les appareils Xiaomi exécutant le système d'exploitation MIUI.
Avec une part de marché de 13%, Xiaomi est actuellement l'une des principales marques de smartphones en Inde, le deuxième marché mondial pour les smartphones, juste après la Chine.
La recherche menée par eScan a mis en évidence de nombreuses failles dans le système d’exploitation MIUI, capable d’introduire des vulnérabilités dans les applications de sécurité des utilisateurs finaux.
«L'application système de MIUI, qui gère la désinstallation des applications, constitue une menace importante pour les applications de sécurité. Il a été observé que ces applications au moment de la désinstallation demanderaient un mot de passe sur tous les autres appareils, bien que sur MIUI, ces applications soient désinstallées sans qu'un mot de passe soit nécessaire », ont noté les chercheurs.
Les chercheurs ont également relevé un autre problème de sécurité important, à savoir que l'application Mi Mover n'exige pas de mot de passe pour transférer des données d'un appareil à l'autre.
«Du point de vue de la sécurité, le processus de désinstallation mis en œuvre dans MIUI constitue une menace importante pour la sécurité puisque le processus d'authentification mis en œuvre par l'application est contourné», ont-ils ajouté.
Problèmes de sécurité détectés par eScan
Les chercheurs d'eScan ont découvert les problèmes suivants avec le système d'exploitation MIUI de Xiaomi.
- MI-Mover App remplace le sandbox de l'application du système d'exploitation Android
- Toute application d'administrateur de périphérique peut être désinstallée sans révoquer ses droits d'administrateur de périphérique
- Xiaomi avec MI-Mover peut être cloné en quelques minutes sans avoir à rooter le périphérique
- MIUI plutôt que de les supprimer, masque l’application Work-Profile Admin
- Les profils d'espace de travail ne peuvent pas être différenciés des profils personnels, ce qui pose un sérieux problème du point de vue de la sécurité dans Enterprise Mobility Management.
GT a également testé la vulnérabilité de la sécurité
Parmi toutes ces questions, les plus pressantes et les plus répandues sont les vulnérabilités qui attaquent les applications de sécurité et une autre liée à Mi Mover.
S'adressant à GuidingTech, le porte-parole de Xiaomi a constamment insisté sur le fait que le scanner de goupilles, de motifs et d'empreintes digitales de l'appareil constituait la première barrière contre les entrées non désirées. Pour exploiter l'une des vulnérabilités mentionnées dans la recherche, cette barrière de sécurité doit être supprimée.
Test de l'application de sécurité
Tout d'abord, nous avons testé la vulnérabilité de sécurité qui indique que toute application disposant de l'autorisation d'administrateur de périphérique peut être supprimée sans révoquer ces droits.
En soi, nous avons installé l'application antivol Cerberus sur notre appareil Xiaomi Mi Max 2 et les appareils non-Xiaomi (pour agir en tant que contrôle). Lors de la désinstallation de l'application Cerebrus sur les appareils OnePlus 5 et Samsung Galaxy J7 Max (tous deux sous Android 7), le téléphone demande le mot de passe système ainsi que le mot de passe de l'application Cerberus.
Mais lorsque nous avons essayé de désinstaller Cerberus du périphérique Mi Max 2, l'application a tout simplement été désinstallée sans demander d'entrées supplémentaires - lisez le mot de passe.
Lisez aussi: 5 tentatives suffisent pour faire craquer votre verrou de modèle AndroidTest Mi Mover
Dans leur déclaration à GuidingTech, le porte-parole de Xiaomi a indiqué qu'un mot de passe est requis pour utiliser Mi Mover sur l'appareil.
Nous avons donc trouvé deux appareils Xiaomi - Mi Max 2 et Redmi 4A -, leur avons mis des verrous d'empreinte et de motif et vérifié la fonction Mi Mover. À notre grande surprise (ou non!), L'application Mi Mover n'a demandé aucun mot de passe.
Il nous demandait simplement qui allait envoyer les données, qui allait les recevoir et quelles données devaient être envoyées au système ou aux applications. Et voila! Le transfert de données a commencé sans qu'il soit nécessaire de saisir un mot de passe, ni avant, ni après la fin du transfert des données par l'application Mi Mover.
Cette vulnérabilité est également critique, car toute personne ayant accès à votre appareil Xiaomi déverrouillé peut facilement cloner tout son contenu, y compris les données du système et des applications en un tour de main.
Xiaomi s'est concentré sur le fait que la première couche de sécurité verrouille le téléphone, mais même sur un téléphone déverrouillé, d'autres consignes concernant Android doivent être mises en place pour éviter d'autres dommages, tels que les mots de passe 2FA et spécifiques à l'application.
Ce que dit Xiaomi
Voici la déclaration complète de Xiaomi:
Escan a publié plus tôt aujourd'hui un rapport qui énumère peu de problèmes dans MIUI. Nous sommes fermement en désaccord avec les allégations formulées par Escan dans son rapport. En tant que société Internet mondiale, Xiaomi prend toutes les mesures possibles pour garantir que nos appareils et services respectent notre politique de confidentialité.
Tout auteur qui obtient un accès physique à un téléphone déverrouillé est capable d'actes malveillants et un téléphone déverrouillé est fortement exposé au risque de vol de données de l'utilisateur.
C'est pourquoi, chez Xiaomi, nous encourageons nos utilisateurs à être plus conscients de la protection de leurs données personnelles à l'aide d'un code PIN, de verrous à verrouillage ou du capteur d'empreinte digitale intégré sur la plupart de nos smartphones. En fait, demander aux utilisateurs d'activer le verrouillage par empreinte digitale est une étape standard lors de la configuration initiale d'un smartphone Xiaomi.
Mi Mover est conçu pour être un outil pratique permettant à nos utilisateurs de transférer leurs données d'un ancien smartphone vers un nouveau téléphone. Pour que Mi Mover puisse lancer ce processus, un mot de passe est requis.
Plus important encore, pour utiliser Mi Mover, le smartphone doit être déverrouillé.
Ainsi, il existe deux couches de protection pour l'utilisateur: un verrou de téléphone et un mot de passe Mi Mover nécessaires.
Les puces RFID pour passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un béant Selon les chercheurs en sécurité, les données sur les puces radioélectriques contenues dans les passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un trou de sécurité béant dans les systèmes de contrôle des frontières de la prochaine génération.
Vers le haut de 50 pays déploient des passeports avec des puces RFID (identification par radiofréquence) intégrées contenant des données biométriques et personnelles. Cette mesure vise à réduire le nombre de passeports frauduleux et à renforcer les contrôles frontaliers, mais les experts en sécurité affirment que ces systèmes présentent plusieurs faiblesses.
Chercheur: la faille Twitter a donné accès à des applications privées à des applications tierces
Utilisateurs connectés à des sites Web tiers Selon César Cerrudo, directeur technique de la société de conseil en sécurité IOActive, les applications mobiles utilisant leurs comptes Twitter auraient pu permettre à ces applications d'accéder à leurs messages privés Twitter sans le savoir.
Nouvelle faille trouvée dans les anciennes versions du système d`exploitation Windows
Secunia a découvert une nouvelle faille qui pourrait permettre à un hacker de fonctionner Microsoft a été informé lundi d`une faille de sécurité dans les anciennes versions de Windows qui pourrait, si elle était exploitée, permettre aux pirates d`exécuter du code malveillant sur des ordinateurs qui ne se doutent de rien. La vulnérabilité est due à une erreur de limitation dans la fonction "UpdateFrameTitleForDocument ()" de la classe CFrameWnd dans mfc42.dll.