Główna luka w zabezpieczeniach w miui: aplikacje bezpieczeństwa innych firm mogą być…

Szybko rozwijający się świat Internetu jest nękany przez liczne luki w zabezpieczeniach, które powstają, a eScan Antivirus z Indii opublikował raport sugerujący wiele luk w zabezpieczeniach znalezionych na urządzeniach Xiaomi z systemem operacyjnym MIUI.

Z 13-procentowym udziałem w rynku, Xiaomi jest obecnie jedną z wiodących marek smartfonów w Indiach, która jest drugim co do wielkości rynkiem smartfonów na świecie, zaraz po Chinach.

Badania przeprowadzone przez eScan wskazują na wiele błędów w systemie operacyjnym MIUI, które są w stanie wprowadzić luki w zabezpieczeniach użytkowników końcowych, a także aplikacje bezpieczeństwa.

„Aplikacja systemowa MIUI, która obsługuje odinstalowywanie aplikacji, stanowi poważne zagrożenie dla aplikacji zabezpieczających. Zaobserwowano, że te aplikacje w czasie odinstalowywania poprosiły o hasło na wszystkich innych urządzeniach, chociaż na MIUI aplikacje te zostały odinstalowane bez konieczności podawania hasła ”- zauważyli naukowcy.

Inną ważną wadą bezpieczeństwa odnotowaną przez naukowców było to, że aplikacja Mi Mover nie wymaga hasła podczas przesyłania danych z jednego urządzenia do drugiego.

„Z punktu widzenia bezpieczeństwa proces dezinstalacji zaimplementowany w MIUI stanowi poważne zagrożenie bezpieczeństwa, ponieważ proces uwierzytelniania realizowany przez aplikację jest pomijany”, dodali.

Problemy bezpieczeństwa znalezione przez eScan

Naukowcy z eScan odkryli następujące problemy z systemem operacyjnym MIUI Xiaomi.

• Aplikacja MI-Mover zastępuje obszar izolowany aplikacji systemu operacyjnego Android
• Dowolną aplikację administratora urządzenia można odinstalować bez cofania uprawnień administratora urządzenia
• Xiaomi z MI-Mover można sklonować w kilka minut bez konieczności rootowania urządzenia
• Urządzenia MIUI zamiast kasować ukrywają aplikację Administrator profilu pracy
• Profile obszaru roboczego nie mogą być odróżniane od profilu osobistego stanowiącego poważne wyzwanie z punktu widzenia bezpieczeństwa w Enterprise Mobility Management

GT przetestował również lukę w zabezpieczeniach

Spośród wszystkich tych problemów najbardziej palącymi i powszechnymi problemami są luki atakujące aplikacje zabezpieczające i inne związane z Mi Mover.

Rozmawiając z GuidingTech, rzecznik Xiaomi konsekwentnie podkreślał fakt, że skaner pin / pattern / fingerprint urządzenia jest pierwszą barierą niepożądanego wejścia i aby wykorzystać jedną z luk wymienionych w badaniu, ta bariera bezpieczeństwa musi zostać zerwana.

Test aplikacji bezpieczeństwa

Najpierw przetestowaliśmy lukę w zabezpieczeniach, która stwierdza, że ​​każda aplikacja, która ma uprawnienia administratora urządzenia, może zostać usunięta bez cofania tych praw.

Jako takie zainstalowaliśmy aplikację Anti-Theft Cerberus na naszych urządzeniach Xiaomi Mi Max 2 i urządzeniach innych niż Xiaomi (aby pełnić funkcję kontrolną). Po odinstalowaniu aplikacji Cerebrus na urządzeniu OnePlus 5 i Samsung Galaxy J7 Max (oba działające na Androidzie 7) telefon poprosi o hasło systemowe oraz hasło aplikacji Cerberus.

Ale kiedy próbowaliśmy odinstalować Cerberusa z urządzenia Mi Max 2, aplikacja po prostu została odinstalowana bez pytania o dodatkowe dane - przeczytaj hasło.

Odczytano także: 5 prób polega na tym, aby zniszczyć blokadę wzorca Androida

Test Mi Mover

W swoim oświadczeniu dla GuidingTech, rzecznik Xiaomi wspomniał, że do korzystania z Mi Mover na urządzeniu wymagane jest hasło.

Znaleźliśmy więc dwa urządzenia Xiaomi - Mi Max 2 i Redmi 4A - umieściliśmy na nich odciski palców i wzory i sprawdziliśmy funkcję Mi Mover. Ku naszemu zdziwieniu (lub nie!) Aplikacja Mi Mover nie poprosiła o żadne hasło.

Po prostu zapytał nas, kto będzie wysyłał dane, kto je otrzyma i jakie dane systemowe lub dane aplikacji należy wysłać. I Voila! Transfer danych rozpoczął się bez konieczności wprowadzania hasła przed lub po zakończeniu przesyłania danych przez aplikację Mi Mover.

Ta luka jest również krytyczna, ponieważ każdy, kto uzyska dostęp do odblokowanego urządzenia Xiaomi, może łatwo sklonować całą zawartość urządzenia, w tym dane systemu i aplikacji w mgnieniu oka.

Xiaomi skupia się na tym, że pierwszą warstwą bezpieczeństwa jest blokowanie telefonu, ale nawet na odblokowanym telefonie istnieją inne wytyczne dotyczące Androida, które należy wprowadzić, aby uniknąć dalszych szkód - takich jak hasła 2FA i hasła specyficzne dla aplikacji.

Co mówi Xiaomi

Oto pełna instrukcja Xiaomi:

Escan wcześniej podzielił się raportem, który wymienia kilka problemów w MIUI. Zdecydowanie nie zgadzamy się z zarzutami Escana w ich raporcie. Jako globalna firma internetowa Xiaomi podejmuje wszelkie możliwe kroki, aby nasze urządzenia i usługi były zgodne z naszą polityką prywatności.

Każdy sprawca, który uzyska fizyczny dostęp do odblokowanego telefonu, jest zdolny do złośliwego działania, a odblokowany telefon jest bardzo narażony na kradzież danych użytkownika.

Dlatego w Xiaomi zachęcamy naszych użytkowników, aby byli bardziej świadomi ochrony swoich prywatnych danych za pomocą kodu PIN, blokad wzorów lub wbudowanego czujnika linii papilarnych dostępnego w większości naszych smartfonów. W rzeczywistości monitowanie użytkowników o włączenie blokady linii papilarnych jest standardowym krokiem podczas konfigurowania smartfona Xiaomi do pierwszego użycia.

Mi Mover został zaprojektowany jako wygodne narzędzie dla naszych użytkowników do przenoszenia danych ze starego smartfona na nowy telefon. Aby Mi Mover mógł zainicjować ten proces, wymagane jest hasło.

Co ważniejsze, aby użyć Mi Mover, smartfon musi zostać odblokowany.

Istnieją zatem dwie warstwy ochrony użytkownika - blokada telefonu i hasło Mi Mover, które są niezbędne.