Groot beveiligingslek gevonden in miui: beveiligingsapps van derden kunnen ...

De snel groeiende wereld van internet wordt aangetast door tal van beveiligingskwetsbaarheden die zich voordoen en eScan Antivirus uit India heeft een rapport uitgebracht waarin wordt gesuggereerd dat er meerdere beveiligingsfouten zijn gevonden op Xiaomi-apparaten met het MIUI-besturingssysteem.

Met een marktaandeel van 13 procent is Xiaomi momenteel een van de toonaangevende smartphonemerken in India, de tweede grootste smartphonemarkt ter wereld, net na China.

Het onderzoek van eScan wijst op meerdere fouten in het MIUI OS die kwetsbaarheden kunnen introduceren in zowel eindgebruikers- als beveiligings-apps.

“MIUI's systeem-app die de verwijdering van de apps afhandelt, vormt een belangrijke bedreiging voor beveiligings-apps. Er is geconstateerd dat deze apps op het moment van de installatie op alle andere apparaten om een ​​wachtwoord zouden vragen, hoewel op MIUI deze apps zonder installatie van een wachtwoord worden verwijderd ', aldus de onderzoekers.

Een ander belangrijk beveiligingslek dat door de onderzoekers werd opgemerkt, was dat de Mi Mover-app geen wachtwoord vereist bij het overbrengen van gegevens van het ene apparaat naar het andere.

"Uit veiligheidsoogpunt vormt het proces van verwijderen dat in MIUI is geïmplementeerd een aanzienlijke beveiligingsbedreiging, aangezien het authenticatieproces dat door de app wordt geïmplementeerd, wordt omzeild", voegde ze eraan toe.

Beveiligingsproblemen gevonden door eScan

Onderzoekers van eScan ontdekten de volgende problemen met het MIUI-besturingssysteem van Xiaomi.

• MI-Mover App overschrijft de toepassingssandbox van het Android-besturingssysteem
• Elke app voor apparaatbeheerders kan worden verwijderd zonder de apparaatbeheerdersrechten in te trekken
• Xiaomi met MI-Mover kan in enkele minuten worden gekloond zonder het apparaat te rooten
• MIUI-apparaten verbergen niet de Work-Profile Admin-app
• Werkruimteprofielen kunnen niet worden onderscheiden van het persoonlijke profiel dat vanuit veiligheidsoogpunt een serieuze uitdaging vormt in Enterprise Mobility Management

GT heeft ook het beveiligingslek getest

Van al deze problemen zijn de meest urgente en wijdverbreide problemen de kwetsbaarheden die beveiligingsapps aanvallen en een andere die verband houdt met Mi Mover.

In gesprek met GuidingTech benadrukte de woordvoerder van Xiaomi consequent het feit dat de pin / patroon / vingerafdrukscanner van het apparaat de eerste barrière is voor ongewenste toegang en om de in het onderzoek genoemde kwetsbaarheden te misbruiken, moet deze beveiligingsbarrière worden doorbroken.

Test van beveiligingsapp

Eerst hebben we het beveiligingslek getest, waarin staat dat elke app met apparaatbeheerdersrechten kan worden verwijderd zonder die rechten in te trekken.

Per se hebben we de Cerberus Anti-diefstal-app op ons Xiaomi Mi Max 2-apparaat en niet-Xiaomi-apparaten geïnstalleerd (om als controle te fungeren). Wanneer de Cerebrus-app op de OnePlus 5 en Samsung Galaxy J7 Max (beide op Android 7) wordt verwijderd, vraagt ​​de telefoon om het systeemwachtwoord en het wachtwoord van de Cerberus-app.

Maar toen we probeerden Cerberus te verwijderen van het Mi Max 2-apparaat, werd de app eenvoudig verwijderd zonder om extra invoer te vragen - lees wachtwoord.

Lees ook: 5 pogingen is alles wat nodig is om uw Android-patroonslot te kraken

Mi Mover-test

In hun verklaring aan GuidingTech vermeldde de woordvoerder van Xiaomi dat een wachtwoord vereist is om Mi Mover op het apparaat te gebruiken.

Dus vonden we twee Xiaomi-apparaten - Mi Max 2 en Redmi 4A -, zetten er vingerafdruk- en patroonsloten op en checkten de Mi Mover-functie. Tot onze verbazing (of niet!) Vroeg de Mi Mover-app om geen enkel wachtwoord.

Het vroeg ons gewoon wie de gegevens gaat verzenden, wie het gaat ontvangen en wat alle systeem- of app-gegevens moeten worden verzonden. En voila! De gegevensoverdracht is gestart zonder dat er wachtwoordinvoer nodig was, vóór of nadat de Mi Mover-app de gegevensoverdracht had voltooid.

Dit beveiligingslek is ook van cruciaal belang, want iedereen die toegang krijgt tot uw ontgrendelde Xiaomi-apparaat, kan in een handomdraai alle inhoud van het apparaat klonen, inclusief systeem- en app-gegevens.

Xiaomi richt zich op het feit dat de eerste beveiligingslaag de telefoon vergrendelt, maar zelfs op een ontgrendelde telefoon zijn er andere Android-richtlijnen die moeten worden ingevoerd om verdere schade te voorkomen, zoals 2FA- en app-specifieke wachtwoorden.

Wat Xiaomi zegt

Hier is de volledige verklaring van Xiaomi:

Escan deelde eerder vandaag een rapport met weinig zorgen in MIUI. We zijn het sterk oneens met de aantijgingen van Escan in hun rapport. Als een wereldwijd internetbedrijf neemt Xiaomi alle mogelijke stappen om ervoor te zorgen dat onze apparaten en services voldoen aan ons privacybeleid.

Elke dader die fysieke toegang tot een ontgrendelde telefoon verkrijgt, is in staat tot kwaadwillende activiteit en een ontgrendelde telefoon loopt een groot risico dat gebruikersgegevens worden gestolen.

Daarom moedigen we bij Xiaomi onze gebruikers aan om zich meer bewust te zijn van het beschermen van hun privégegevens met behulp van PIN, patroonsloten of de ingebouwde vingerafdruksensor die beschikbaar is op de meeste van onze smartphones. Gebruikers vragen om vingerafdrukvergrendeling in te schakelen, is eigenlijk een standaardstap bij het instellen van een Xiaomi-smartphone voor het eerste gebruik.

Mi Mover is ontworpen als een handig hulpmiddel voor onze gebruikers om hun gegevens van een oude smartphone naar een nieuwe telefoon te verplaatsen. Om Mi Mover dit proces te laten starten, is een wachtwoord vereist.

Wat nog belangrijker is: om Mi Mover te gebruiken, moet de smartphone worden ontgrendeld.

Er zijn dus twee beschermingslagen voor de gebruiker - telefoonblokkering en een Mi Mover-wachtwoord die nodig zijn.