Hlavní bezpečnostní chyba nalezená v miui: bezpečnostní aplikace třetích stran mohou být…

Rychle se rozvíjející svět internetu je poznačen četnými bezpečnostními zranitelnostmi, které se objevují, a eScan Antivirus v Indii vydal zprávu, která navrhuje více bezpečnostních nedostatků nalezených na zařízeních Xiaomi se systémem MIUI.

S podílem na trhu 13 procent je Xiaomi v současné době jednou z předních značek smartphonů v Indii, která je druhým největším trhem s chytrými telefony na světě, hned po Číně.

Výzkum provedený společností eScan poukazuje na několik nedostatků v operačním systému MIUI, který je schopen zavést zranitelnosti do koncových uživatelů i do bezpečnostních aplikací.

„Systémová aplikace MIUI, která zajišťuje odinstalaci aplikací, představuje pro aplikace Security značné nebezpečí. Bylo zjištěno, že tyto aplikace v době odinstalace budou vyžadovat heslo na všech ostatních zařízeních, ačkoli na MIUI se tyto aplikace odinstalují bez nutnosti hesla, “uvedli vědci.

Další důležitou bezpečnostní chybou zaznamenanou vědci bylo, že aplikace Mi Mover nevyžaduje heslo při přenosu dat z jednoho zařízení na druhé.

"Z hlediska zabezpečení představuje proces odinstalace implementovaný v MIUI značnou bezpečnostní hrozbu, protože proces autentizace implementovaný aplikací je vynechán, " dodali.

Problémy s bezpečností nalezené společností eScan

Vědci v eScan našli následující problémy s operačním systémem MIUI Xiaomi.

• Aplikace MI-Mover přepíše aplikační karanténu operačního systému Android
• Libovolnou aplikaci správce zařízení lze odinstalovat, aniž by došlo ke zrušení práv správce zařízení
• Xiaomi s MI-Mover lze klonovat během několika minut, aniž byste museli zařízení rootovat
• Zařízení MIUI místo mazání skryjí aplikaci Work-Profile Admin
• Profily pracovního prostoru nelze odlišit od osobního profilu, který představuje závažnou výzvu z hlediska bezpečnosti v Enterprise Mobility Management

Společnost GT také otestovala bezpečnostní chybu

Ze všech těchto problémů jsou nejnaléhavějšími a nejrozšířenějšími problémy zranitelnosti útočící na bezpečnostní aplikace a další související s Mi Mover.

Mluvčí společnosti Xiaomi mluvil s GuidingTechem a neustále zdůrazňoval skutečnost, že skener pin / pattern / fingerprint zařízení je první bariérou nežádoucího vstupu a zneužití kterékoli z zranitelností uvedených ve výzkumu, musí být tato bezpečnostní bariéra porušena.

Test aplikace zabezpečení

Nejprve jsme otestovali bezpečnostní chybu, která uvádí, že libovolnou aplikaci, která má oprávnění správce zařízení, lze odstranit bez zrušení těchto práv.

Sama o sobě jsme nainstalovali aplikaci Cerberus Anti-Theft na naše zařízení Xiaomi Mi Max 2 a jiná zařízení než Xiaomi (aby fungovala jako kontrola). Při odinstalaci aplikace Cerebrus na zařízení OnePlus 5 a Samsung Galaxy J7 Max (obě spuštěné na Android 7) si telefon vyžádá systémové heslo a heslo aplikace Cerberus.

Když jsme se ale pokusili odinstalovat Cerberus ze zařízení Mi Max 2, aplikace se jednoduše odinstalovala bez požadavku na další vstupy - přečtěte si heslo.

Také si přečtěte: 5 pokusů je vše, co je potřeba k prolomení zámku Android Pattern

Test Mi Mover

Ve svém prohlášení pro GuidingTech mluvčí Xiaomi uvedl, že pro použití Mi Mover v zařízení je vyžadováno heslo.

Našli jsme tedy dvě zařízení Xiaomi - Mi Max 2 a Redmi 4A -, nasadili na ně otisky prstů a vzory a vyzkoušeli funkci Mi Mover. K našemu překvapení (nebo ne!) Aplikace Mi Mover nepožadovala vůbec žádné heslo.

Jen se nás zeptalo, kdo data pošle, kdo je přijme a jaká data systému nebo aplikace je třeba zaslat. A Voila! Přenos dat byl zahájen bez nutnosti zadávání hesla před nebo po dokončení přenosu dat aplikací Mi Mover.

Tato zranitelnost je také kritická, protože kdokoli, kdo získá přístup k vašemu odemknutému zařízení Xiaomi, může snadno naklonovat veškerý obsah zařízení, včetně systémových a aplikačních dat, za sebou.

Xiaomi se zaměřuje na skutečnost, že první bezpečnostní vrstva zamyká telefon, ale i na odemčeném telefonu je třeba zavést další pokyny pro Android, aby nedošlo k dalšímu poškození - například hesla 2FA a hesla pro konkrétní aplikace.

Co říká Xiaomi

Zde je kompletní prohlášení společnosti Xiaomi:

Escan dříve dnes sdílel zprávu, která uvádí několik nedostatků v MIUI. Důrazně nesouhlasíme s tvrzeními společnosti Escan uvedenými v jejich zprávě. Jako globální internetová společnost podniká Xiaomi všechny možné kroky k zajištění toho, aby naše zařízení a služby dodržovaly naše zásady ochrany osobních údajů.

Každý pachatel, který získá fyzický přístup k odemknutému telefonu, je schopen škodlivé činnosti a odemknutý telefon je velmi ohrožen krádeží uživatelských dat.

Proto v Xiaomi vyzýváme naše uživatele, aby si byli více vědomi ochrany svých osobních údajů pomocí kódu PIN, zámků vzorů nebo zabudovaného snímače otisku prstu dostupného na většině našich chytrých telefonů. Ve skutečnosti je výzva uživatelům, aby povolili zámek otisků prstů, standardní krok při nastavování smartphonu Xiaomi pro první použití.

Mi Mover je navržen jako pohodlný nástroj pro naše uživatele k přesunu dat ze starého smartphonu do nového telefonu. Aby mohl Mi Mover zahájit tento proces, je vyžadováno heslo.

Ještě důležitější je, aby bylo možné používat Mi Mover, musí být smartphone odemknutý.

Existují tedy dvě vrstvy ochrany uživatele - zámek telefonu a heslo Mi Mover, které jsou nezbytné.