Miui: lle löytyi suuri tietoturvavirhe: kolmannen osapuolen tietoturvasovellukset voivat olla…

Internetin nopeasti kasvavaa maailmaa uhkaa lukuisia tietoturva-aukkoja, ja intialainen eScan Antivirus on julkaissut raportin, joka viittaa useisiin tietoturvavirheisiin, jotka löytyvät Xiaomi-laitteista, joissa on MIUI-käyttöjärjestelmä.

Xiaomi on 13 prosentin markkinaosuudellaan yksi Intian johtavista älypuhelinbrändeistä, joka on maailman toiseksi suurin älypuhelinmarkkina heti Kiinan jälkeen.

EScanin tutkimus osoittaa useita virheitä MIUI-käyttöjärjestelmässä, joka pystyy tuomitsemaan haavoittuvuuksia loppukäyttäjille ja tietoturvasovelluksille.

”MIUI: n järjestelmäsovellus, joka käsittelee sovellusten asennuksen poistamisen, aiheuttaa merkittävän uhan tietoturvasovelluksille. On havaittu, että nämä sovellukset pyytävät salasanaa kaikissa muissa laitteissa, vaikka MIUI: lla nämä sovellukset asennettaisiin ilman salasanaa ”, tutkijat huomauttivat.

Toinen tärkeä tutkijoiden havaitsema turvallisuusvirhe oli, että Mi Mover -sovellus ei vaadi salasanaa siirrettäessä tietoja laitteesta toiseen.

"Turvallisuuden kannalta MIUI: ssä toteutettu asennuksen purkamisprosessi aiheuttaa merkittävän turvallisuusuhan, koska sovelluksen toteuttama todennusprosessi ohitetaan", he lisäsivät.

EScanin löytämät tietoturvaongelmat

EScanin tutkijat havaitsivat seuraavat asiat Xiaomin MIUI-käyttöjärjestelmässä.

• MI-Mover-sovellus ohittaa Android-käyttöjärjestelmän sovellusten hiekkalaatikon
• Mikä tahansa laitteen järjestelmänvalvojan sovellus voidaan poistaa poistamatta laitteen järjestelmänvalvojan oikeuksia
• MIomi-Moverilla varustettu Xiaomi voidaan kloonata muutamassa minuutissa ilman, että tarvitset juurruttaa laitetta
• MIUI-laitteet poistamisen sijaan piilottaa Work-Profile Admin -sovelluksen
• Työtilaprofiileja ei voida erottaa henkilökohtaisista profiileista, jotka aiheuttavat vakavan haasteen yrityksen liikkuvuuden hallinnan turvallisuuden kannalta

GT myös testasi suojaushaavoittuvuutta

Kaikista näistä aiheista kiireellisimmät ja levinneimmät kysymykset ovat tietoturvasovelluksia hyökkäävät haavoittuvuudet ja toinen Mi Moveriin liittyvä ongelma.

Keskustellessaan GuidingTechin kanssa, Xiaomin tiedottaja painotti jatkuvasti sitä tosiasiaa, että laitteen nasta- / kuvio- / sormenjälkitunnistin on ensimmäinen este ei-toivotulle pääsylle ja käyttääksesi kaikkia tutkimuksessa mainittuja haavoittuvuuksia tämä suoja-este on purettava.

Tietoturvasovellustesti

Ensin testasimme suojausheikkoutta, jonka mukaan mikä tahansa sovellus, jolla on laitteen järjestelmänvalvojan lupa, voidaan poistaa ilman, että kyseisiä oikeuksia peruutetaan.

Asensimme sinänsä Cerberus-varkaudenesto-sovelluksen Xiaomi Mi Max 2 -laitteeseemme ja muihin kuin Xiaomi -laitteisiin (toimimaan ohjauksena). Kun poistat Cerebrus-sovelluksen OnePlus 5: stä ja Samsung Galaxy J7 Max (molemmat käyttävät Android 7) -laitteesta, puhelin pyytää järjestelmän salasanaa ja Cerberus-sovelluksen salasanaa.

Mutta kun yritimme poistaa Cerberus Mi Mi 2 -laitteesta, sovellus poistettiin yksinkertaisesti kysymättä mitään lisäsyöttöä - lukea salasana.

Lue myös: 5 yritystä on kaikki, mikä tarvitaan Android-lukitusmallin murtamiseen

Mi Mover -testi

Xiaomi-edustaja mainitsi GuidingTechille antamassaan lausunnossa, että Mi Moverin käyttämiseksi laitteessa tarvitaan salasana.

Joten löysimme kaksi Xiaomi-laitetta - Mi Max 2 ja Redmi 4A -, panimme niille sormenjäljen ja kuvion lukot ja tarkistimme Mi Mover -ominaisuuden. Yllätykseemme (tai ei!) Mi Mover -sovellus ei pyytänyt mitään salasanaa.

Se kysyi meiltä vain kuka lähettää tiedot, kuka vastaanottaa ne ja mitä kaikki järjestelmän tai sovelluksen tiedot on lähetettävä. Ja Voila! Tiedonsiirto aloitettiin ilman salasanan syöttöä joko ennen tai sen jälkeen, kun Mi Mover -sovellus oli suorittanut tiedonsiirron.

Tämä haavoittuvuus on myös kriittinen, koska kuka tahansa, joka saa pääsyn lukitsemattomaan Xiaomi -laitteeseesi, voi helposti kloonata laitteen kaiken sisällön, mukaan lukien järjestelmä- ja sovellustiedot.

Xiaomi on keskittynyt siihen, että ensimmäinen tietoturvakerros lukitsee puhelimen, mutta jopa lukitsemattomassa puhelimessa on muita Android-ohjeita, jotka on otettava käyttöön, jotta vältetään lisävahingot - kuten 2FA- ja sovelluskohtaiset salasanat.

Mitä Xiaomi sanoo

Tässä on Xiaomin täydellinen lausunto:

Escan jakoi aiemmin tänään raportin, jossa luetellaan muutamia huolenaiheita MIUI: ssä. Olemme täysin eri mieltä Escanin mietinnössään esittämistä väitteistä. Globaalina Internet-yrityksenä Xiaomi pyrkii kaikin tavoin varmistamaan, että laitteemme ja palvelumme noudattavat tietosuojakäytäntöämme.

Jokainen tekijä, joka saa fyysisen pääsyn lukitsemattomaan puhelimeen, pystyy toimimaan haitallisesti ja lukitsematon puhelin on suuressa vaarassa, että käyttäjätiedot varastetaan.

Siksi me, Xiaomi, rohkaisemme käyttäjiämme olemaan tietoisempia suojaamaan yksityisiä tietojaan PIN-koodilla, Pattern-lukkoilla tai useimmissa älypuhelimissamme käytettävissä olevassa sormenjälkitunnistimessa. Itse asiassa käyttäjien kehottaminen ottamaan sormenjäljen lukitus käyttöön on tavallinen vaihe asettaessasi Xiaomi-älypuhelinta ensimmäistä käyttöä varten.

Mi Mover on suunniteltu olemaan kätevä työkalu käyttäjillemme siirtääksesi tietojaan vanhasta älypuhelimesta uuteen puhelimeen. Jotta Mi Mover voi aloittaa tämän prosessin, tarvitaan salasana.

Vielä tärkeämpää on, että Mi Moverin käyttämiseksi älypuhelin on avattava.

Siksi käyttäjälle on olemassa kaksi suojaustasoa - puhelimen lukitus ja Mi Mover-salasana, jotka ovat välttämättömiä.