A miui-ben jelentős biztonsági hiba található: harmadik fél biztonsági alkalmazásai lehetnek…

Az internet gyorsan bővülő világát számos felmerülő biztonsági rés veszélyezteti, és az indiai székhelyű eScan Antivirus jelentést tett közzé, amely több biztonsági hibára utal, amelyeket a MIomi operációs rendszert futtató Xiaomi készülékeken találtak.

A Xiaomi 13 százalékos piaci részesedéssel jelenleg az egyik vezető okostelefon-márka Indiában, amely közvetlenül a kínai után a világ második legnagyobb okostelefon-piaca.

Az eScan kutatása több hibára mutat rá a MIUI operációs rendszerben, amely képes biztonsági réseket bevezetni a végfelhasználók és a biztonsági alkalmazások területén.

„Az MIUI rendszeralkalmazása, amely kezeli az alkalmazások eltávolítását, jelentős veszélyt jelent a biztonsági alkalmazásokra. Megfigyelték, hogy ezek az alkalmazások a telepítés megszüntetésekor minden más eszköznél jelszót kérnének, bár a MIUI-nál ezek az alkalmazások jelszó nélkül telepítésre kerülnek ”- jegyezte meg a kutatók.

A kutatók által megfigyelt másik fontos biztonsági hiba az, hogy a Mi Mover alkalmazásnak nincs szüksége jelszóra, amikor az adatokat egyik eszközről a másikra továbbítja.

"Biztonsági szempontból a MIUI-ban végrehajtott eltávolítás folyamata jelentős biztonsági fenyegetést jelent, mivel az alkalmazás által végrehajtott hitelesítési folyamatot megkerülik" - tettek hozzá.

Az eScan által talált biztonsági problémák

Az eScan kutatói a következő problémákat találták a Xiaomi MIUI operációs rendszerével kapcsolatban.

• Az MI-Mover App felülbírálja az Android OS alkalmazás homokozóját
• Bármely eszköz-rendszergazda alkalmazást eltávolíthat az eszköz-rendszergazdai jogok visszavonása nélkül
• A MIomi-Moverrel felszerelt Xiaomi néhány perc alatt klónozható anélkül, hogy az eszköz gyökérzetbe kellene kerülnie
• A MIUI-eszközök a törlés helyett elrejtik a Work-Profile Admin alkalmazást
• A munkaterület-profilok nem különböztethetők meg a személyes profiloktól, amelyek biztonsági szempontból komoly kihívást jelentenek a vállalati mobilitáskezelés területén

A GT a biztonsági rést is tesztelte

Ezen kérdések közül a legsürgetõbb és legszélesebb körû kérdések a biztonsági alkalmazásokat támadó sebezhetõségek, valamint egy másik, a Mi Moverhez kapcsolódó problémák.

A GuidingTech-vel való beszélgetés során a Xiaomi szóvivője következetesen hangsúlyozta, hogy az eszköz tű- / minta- / ujjlenyomat-leolvasója jelenti a nemkívánatos belépés első akadályát, és a kutatásban említett sebezhetőség kihasználása érdekében ezt a biztonsági akadályt meg kell szüntetni.

Biztonsági alkalmazásteszt

Először a biztonsági rést teszteltük, amely szerint minden eszköz, amely eszköz adminisztrátori engedéllyel rendelkezik, törölhető ezen jogok visszavonása nélkül.

Önmagában telepítettük a Cerberus lopásgátló alkalmazást a Xiaomi Mi Max 2 és nem Xiaomi készülékeinkre (vezérlésként). Amikor eltávolítja a Cerebrus alkalmazást a OnePlus 5 és a Samsung Galaxy J7 Max eszközről (mindkettő Android 7 rendszeren fut), a telefon kéri a rendszer jelszavát, valamint a Cerberus alkalmazás jelszavát.

Amikor azonban megpróbáltuk eltávolítani a Cerberus szoftvert a Mi Max 2 eszközről, az alkalmazás egyszerűen eltávolításra került, anélkül, hogy további bemeneteket kért volna - olvassa el a jelszót.

Olvassa el még: 5 kísérlet csak annyit jelent, hogy megtörje az Android mintázatzárat

Mi Mover teszt

A GuidingTech-hez intézett nyilatkozatban a Xiaomi szóvivője megemlítette, hogy jelszó szükséges a Mi Mover használatához az eszközön.

Tehát találtunk két Xiaomi eszközt - a Mi Max 2 és a Redmi 4A -, ráhelyeztük az ujjlenyomat- és mintazárakat, és ellenőriztük a Mi Mover funkciót. Meglepetésünkre (vagy sem!) A Mi Mover alkalmazás semmilyen jelszót nem kért.

Csak megkérdezte tőlünk, hogy ki fogja küldeni az adatokat, ki fogja azokat megkapni, és hogy el kell küldeni az összes rendszer vagy alkalmazás adatát. És Voila! Az adatátvitel jelszó megadása nélkül indult, akár a Mi Mover alkalmazás előtt, akár az adatátvitel befejezése után.

Ez a sebezhetőség kritikus is, mivel bárki, aki hozzáférést kap a nyitott Xiaomi eszközhöz, könnyen klónozhatja az eszköz összes tartalmát, ideértve a rendszer- és alkalmazásadatokat is.

A Xiaomi arra a tényre összpontosít, hogy az első biztonsági réteg zárja a telefont, de még egy nyitott telefonon is vannak más Android-irányelvek, amelyeket be kell vezetni a további károk elkerülése érdekében - ilyen például a 2FA és az alkalmazás-specifikus jelszavak.

Amit Xiaomi mond

Itt található a Xiaomi teljes nyilatkozata:

Escan ma korábban megosztott egy jelentést, amely felsorolja néhány aggodalmat a MIUI-ban. Komolyan nem értünk egyet az Escan által a jelentésükben tett állításokkal. Globális internetes társaságként a Xiaomi minden lehetséges lépést megtesz annak érdekében, hogy készülékeink és szolgáltatásaink megfeleljenek adatvédelmi politikánknak.

Bármely elkövető, aki fizikailag fér hozzá egy fel nem oldott telefonhoz, képes rosszindulatú tevékenységekre, és a fel nem oldott telefon számára nagy a veszélye annak, hogy a felhasználói adatokat ellopják.

Ez az oka annak, hogy a Xiaomi-nál arra ösztönözzük felhasználóinkat, hogy tudatosabban védjék személyes adataikat PIN-kóddal, Pattern zárokkal vagy a legtöbb okostelefonunkban elérhető fedélzeti ujjlenyomat-érzékelővel. Valójában a felhasználók felszólítása az ujjlenyomat-zár bekapcsolására egy általános lépés, amikor a Xiaomi okostelefont beállítják az első használathoz.

A Mi Mover célja, hogy kényelmes eszköz legyen a felhasználók számára az adatok áthelyezéséhez egy régi okostelefonról egy új telefonra. Ahhoz, hogy a Mi Mover elindítsa ezt a folyamatot, jelszó szükséges.

Ennél is fontosabb, hogy a Mi Mover használatához az okostelefont ki kell nyitni.

Így a felhasználónak két szintű védelem van - a telefonzárra és a Mi Mover jelszóra szükség van.