Une vulnérabilité majeure vient d’être découverte dans HyperOS, le système installé sur de nombreux appareils Xiaomi, Redmi et POCO. Cette faille de sécurité pourrait permettre à un attaquant d’injecter un malware ou d’obtenir des droits système élevés sur l’appareil ciblé. Le problème touche plusieurs versions du système et concernerait plus de 160 smartphones et tablettes. Xiaomi prépare un correctif, mais en attendant certaines précautions sont fortement recommandées.
Une vulnérabilité qui touche plusieurs versions de HyperOS
La faille concerne les appareils fonctionnant sous HyperOS 1, HyperOS 2 et HyperOS 3. Si elle est exploitée, un attaquant peut obtenir des privilèges proches du root, ce qui lui permet d’effectuer des actions sensibles sur le système.
Avec ce niveau d’accès, il devient possible de :
- modifier le système d’exploitation
- installer des logiciels malveillants
- accéder aux données personnelles
- contourner certaines protections Android
Le problème repose sur l’utilisation de ADB (Android Debug Bridge), un outil destiné aux développeurs permettant d’envoyer des commandes vers un appareil Android depuis un ordinateur.
Un service de diagnostic interne utilisé pour l’attaque
La vulnérabilité cible un service interne nommé miui.mqsas.IMQSNative. Ce composant sert normalement à collecter des rapports de diagnostic et des informations de qualité du système.
Dans certaines conditions, ce service peut accepter des commandes ADB malveillantes et exécuter des instructions normalement interdites.
Le scénario d’attaque se déroule de la manière suivante :
- l’attaquant connecte le smartphone à un ordinateur
- il envoie une commande via ADB
- la commande est transmise au service miui.mqsas.IMQSNative
- le service exécute l’instruction avec ses privilèges système
Comme cet outil possède déjà des autorisations élevées, la commande peut modifier des paramètres sensibles du système. Le résultat est comparable à un appareil rooté, même si le bootloader reste verrouillé.
La mesure de sécurité recommandée en attendant le correctif
Dans l’attente du correctif officiel, la solution la plus efficace consiste à désactiver le débogage USB.
Cette action bloque l’envoi de commandes ADB depuis un ordinateur et empêche donc l’exploitation de la faille.
Pour désactiver cette fonction :
- ouvrir Paramètres
- accéder à Paramètres supplémentaires
- entrer dans Options pour les développeurs
- désactiver Débogage USB
- sélectionner Révoquer les autorisations de débogage USB
Si les options pour les développeurs ne sont pas visibles dans les paramètres, cela signifie généralement que le débogage USB est déjà désactivé.
Un correctif attendu dans la mise à jour de sécurité de mars 2026
Selon les informations disponibles, Xiaomi prévoit de corriger cette vulnérabilité dans le patch de sécurité Android de mars 2026.
Dès que cette mise à jour sera disponible, il est recommandé de l’installer rapidement afin de corriger la faille et sécuriser l’appareil.
Plus de 160 appareils Xiaomi, Redmi et POCO concernés
La vulnérabilité toucherait plus de 160 appareils fonctionnant sous HyperOS. La liste comprend de nombreux smartphones et tablettes.
Principaux appareils Xiaomi concernés
| Série | Modèles |
|---|---|
| Xiaomi T | Xiaomi 11T, 11T Pro, 12T Pro, 13T, 13T Pro, 14T, 14T Pro |
| Xiaomi haut de gamme | Xiaomi 12, 12 Pro, 12X, 12S, 12S Pro, 12S Ultra |
| Xiaomi 13, 13 Pro, 13 Ultra, 13 Lite | |
| Xiaomi 14, 14 Pro, 14 Ultra, 14 CIVI | |
| Xiaomi 15, 15 Pro, 15 Ultra | |
| Mi Series | Mi 10, Mi 10 Pro, Mi 10S, Mi 10 Ultra |
| Mi 11, Mi 11 Pro, Mi 11 Ultra, Mi 11i | |
| Civi | Civi, Civi 1S, Civi 2, Civi 3, Civi 4 Pro, Civi 5 Pro |
| Mix | Mix 4, Mix Fold, Mix Fold 2, Mix Fold 3, Mix Fold 4 |
| Tablettes | Xiaomi Pad 5, Pad 6, Pad 6S Pro 12.4, Pad 7, Pad 7 Pro |
Principaux appareils Redmi concernés
| Série | Modèles |
|---|---|
| Redmi Note 10 / 11 | Redmi Note 10 Pro, Note 11, Note 11 Pro 5G |
| Redmi Note 12 | Note 12, Note 12 Pro, Note 12 Pro+, Note 12 Turbo |
| Redmi Note 13 | Note 13, Note 13 Pro, Note 13 Pro+ |
| Redmi Note 14 | Note 14, Note 14 Pro, Note 14 Pro+ |
| Redmi Note 15 | Note 15, Note 15 Pro, Note 15 Pro+ |
| Redmi K Series | K40, K40 Pro, K50, K50 Pro, K60, K60 Pro, K70, K70 Pro |
| Entrée de gamme | Redmi 12, Redmi 12C, Redmi 13, Redmi 14C |
| Tablettes | Redmi Pad, Redmi Pad SE, Redmi Pad Pro |
Principaux appareils POCO concernés
| Série | Modèles |
|---|---|
| POCO F | POCO F3, F4, F4 GT, F5, F5 Pro, F6, F6 Pro |
| POCO X | POCO X4 Pro 5G, X5 Pro 5G, X6, X6 Pro |
| POCO M | POCO M4, M5, M6, M6 Pro |
| POCO C | POCO C55, C61, C65, C75 |
| Tablettes | POCO Pad |
La liste complète dépasse 160 appareils, incluant des modèles anciens mais aussi des smartphones récents.
La publication du patch de sécurité de mars 2026 sera déterminante pour corriger cette vulnérabilité qui touche une large partie de l’écosystème Xiaomi. L’installation rapide des mises à jour reste la meilleure protection pour éviter toute exploitation de cette faille.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
