Major sikkerhedsfejl findes i miui: tredjeparts sikkerhedsapps kan være ...

Den hurtigt ekspanderende verden på internettet er beskadiget af adskillige sikkerhedssårbarheder, der opstår, og den Indien-baserede eScan Antivirus har frigivet en rapport, der antyder flere sikkerhedsfejl, der findes på Xiaomi-enheder, der kører MIUI-operativsystem.

Med en markedsandel på 13 procent er Xiaomi i øjeblikket et af de førende smartphone-mærker i Indien, som er det næststørste smartphone-marked i verden lige efter Kina.

Forskningen fra eScan påpeger flere mangler i MIUI OS, som er i stand til at introducere sårbarheder i slutbrugeren såvel som sikkerhedsapps.

”MIUIs systemapp, der håndterer afinstallationen af ​​apps udgør en betydelig trussel for sikkerhedsapps. Det er blevet observeret, at disse apps på tidspunktet for afinstallation ville bede om en adgangskode på alle de andre enheder, skønt disse apps på MIUI bliver afinstalleret uden behov for en adgangskode, ”bemærkede forskerne.

En anden vigtig sikkerhedsfejl, som forskerne bemærkede, var, at Mi Mover-appen ikke kræver en adgangskode, når data overføres fra den ene enhed til den anden.

"Fra et sikkerhedsmæssigt synspunkt udgør processen med afinstallation, der er implementeret i MIUI, en betydelig sikkerhedstrussel, da godkendelsesprocessen implementeret af appen er omgået, " tilføjede de.

Sikkerhedsspørgsmål fundet af eScan

Forskere ved eScan fandt følgende problemer med Xiaomis MIUI-operativsystem.

• MI-Mover App tilsidesætter applikationssandkassen i Android OS
• Enhver enhedsadministrator-app kan afinstalleres uden at ophæve dens enhedsadministratorrettigheder
• Xiaomi med MI-Mover kan klones på få minutter uden at behøve at rodfæste enheden
• MIUI-enheder snarere end at slette skjuler Work-Profile Admin-appen
• Arbejdsrumsprofiler kan ikke differentieres fra den personlige profil, der udgør en alvorlig udfordring fra sikkerhedsmæssigt synspunkt i Enterprise Mobility Management

GT testede også sikkerhedsproblemet

Ud af alle disse problemer er de mest presserende og udbredte problemer sårbarheder, der angriber sikkerhedsapps, og et andet relateret til Mi Mover.

I en tale med GuidingTech understregede Xiaomi-talsmanden konstant på det faktum, at enhedens pin / mønster / fingeraftryksscanner er den første barriere mod uønsket adgang og for at udnytte nogen af ​​de sårbarheder, der er nævnt i forskningen, skal denne sikkerhedsbarriere brydes.

Sikkerhedsapp-test

Først testede vi sikkerhedssårbarheden, som siger, at enhver app, der har tilladelse til enhedsadministrator, kan slettes uden at tilbagekalde disse rettigheder.

Per se installerede vi Cerberus Anti-theft-app på vores Xiaomi Mi Max 2-enhed og ikke-Xiaomi-enheder (for at fungere som en kontrol). Når du afinstallerer Cerebrus-appen på OnePlus 5 og Samsung Galaxy J7 Max (begge kører på Android 7) enheden, beder telefonen om systemadgangskoden såvel som Cerberus app-adgangskoden.

Men da vi prøvede at afinstallere Cerberus fra Mi Max 2-enheden, blev appen simpelthen afinstalleret uden at bede om yderligere input - læs adgangskode.

Læs også: 5 forsøg er alt, hvad det kræver at knække din Android-mønsterlås

Mi Mover Test

I deres erklæring til GuidingTech nævnte Xiaomi-talsmanden, at der kræves et kodeord for at bruge Mi Mover på enheden.

Så vi fandt to Xiaomi-enheder - Mi Max 2 og Redmi 4A -, satte fingeraftryks- og mønsterlåse på dem og tjekket Mi Mover-funktionen. Til vores overraskelse (eller ikke!) Bad Mi Mover-appen ikke om nogen som helst adgangskode.

Det spurgte os bare, hvem der skal sende dataene, hvem der vil modtage dem, og hvad alle system- eller appdata skal sendes. Og Voila! Dataoverførslen startede uden behov for indtastning af adgangskode hverken før eller efter Mi Mover-appen afsluttede overførslen af ​​dataene.

Denne sårbarhed er også kritisk, da enhver, der får adgang til din ulåste Xiaomi-enhed, let kan klone alt indholdet på enheden, inklusive system- og appdata på en jiffy.

Xiaomi har fokuseret på det faktum, at det første sikkerhedslag er at låse telefonen, men selv på en ulåst telefon er der andre Android-retningslinjer, der skal placeres for at undgå yderligere skader - sådan en 2FA og app-specifikke adgangskoder.

Hvad Xiaomi siger

Her er den fulde erklæring fra Xiaomi:

Escan delte tidligere i dag en rapport, der viser nogle få bekymringer i MIUI. Vi er meget uenige i de påstande, der blev fremsat af Escan i deres rapport. Som et globalt internetfirma tager Xiaomi alle mulige skridt for at sikre, at vores enheder og tjenester overholder vores privatlivspolitik.

Enhver gerningsmand, der får fysisk adgang til en ulåst telefon, er i stand til ondsindet aktivitet, og en ulåst telefon risikerer i høj grad at brugerdata bliver stjålet.

Dette er grunden til, at vi hos Xiaomi opfordrer vores brugere til at være mere opmærksomme på at beskytte deres private data ved hjælp af pinkode, mønsterlåse eller den indbyggede fingeraftrykssensor, der er tilgængelig på de fleste af vores smartphones. Faktisk er det at bede brugerne om at aktivere fingeraftrykslås et standardtrin, når man opretter en Xiaomi-smartphone til første brug.

Mi Mover er designet til at være et praktisk værktøj for vores brugere til at flytte deres data fra en gammel smartphone til en ny telefon. For at Mi Mover skal starte denne proces, kræves der en adgangskode.

Mere vigtigt er det, at smartphonen skal låses op for at bruge Mi Mover.

Der er således to beskyttelseslag for brugertelefonlåsen og en Mi Mover-adgangskode, som er nødvendig.