Glavni sigurnosni propust pronađen u miui-ju: sigurnosne aplikacije treće strane mogu biti…

Internet koji se brzo širi, ometaju brojne sigurnosne ranjivosti, a eScan Antivirus sa sjedištem u Indiji objavio je izvješće u kojem sugerira više nedostataka sigurnosti na Xiaomi uređajima koji rade MIUI operativni sustav.

S tržišnim udjelom od 13 posto, Xiaomi je trenutno jedna od vodećih marki pametnih telefona u Indiji, a to je drugo najveće tržište pametnih telefona na svijetu, odmah nakon Kine.

Istraživanje eScan-a ukazuje na brojne nedostatke u MIUI OS-u koji može uvesti ranjivosti krajnjeg korisnika kao i sigurnosne aplikacije.

"MIUI sistemska aplikacija koja vrši uklanjanje instalacija predstavlja značajnu prijetnju sigurnosnim aplikacijama. Primjećeno je da bi te aplikacije u trenutku deinstalacije tražile lozinku na svim ostalim uređajima, mada se na MIUI-u te aplikacije deinstaliraju bez potrebe za lozinkom “, primijetili su istraživači.

Drugi važan nedostatak sigurnosti koji su istraživači primijetili bio je da aplikacija Mi Mover ne zahtijeva lozinku prilikom prijenosa podataka s jednog uređaja na drugi.

"Sa sigurnosnog stajališta, proces uklanjanja instalacije implementiran u MIUI predstavlja značajnu sigurnosnu prijetnju jer je postupak za provjeru autentičnosti koji provodi aplikacija zaobišao", dodali su.

Pitanja sigurnosti pronađena od strane eScan-a

Istraživači na eScan-u otkrili su sljedeće probleme s Xiaomi MIUI operativnim sustavom.

• MI-Mover App nadjačava aplikacijsku aplikaciju Android OS-a
• Deinstalirati je bilo koju aplikaciju za administratore uređaja bez opozivanja prava administratora uređaja
• Xiaomi s MI-Moverom može se klonirati za nekoliko minuta bez potrebe za pokretanjem uređaja
• MIUI uređaji umjesto brisanja skrivaju aplikaciju Work-Profile Admin
• Profili radnog prostora ne mogu se razlikovati od osobnog profila koji predstavljaju ozbiljan izazov sa sigurnosnog stajališta u Enterprise Mobility Managementu

GT je testirao i sigurnosnu ranjivost

Od svih ovih izdanja, najizraženija i raširenija pitanja jesu ranjivosti koje napadaju sigurnosne aplikacije i još jedna koja se odnosi na Mi Mover.

Razgovarajući s GuidingTech, glasnogovornik Xiaomi-a dosljedno je naglašavao činjenicu da je skener pin / pattern / fingerprint uređaja prva prepreka neželjenom ulasku i da se iskorištava bilo koja ranjivost koja se spominje u istraživanju, ova sigurnosna barijera mora biti slomljena.

Test sigurnosne aplikacije

Prvo smo testirali sigurnosnu ranjivost koja kaže da se bilo koja aplikacija koja ima dozvolu administratora uređaja može izbrisati bez opozivanja tih prava.

Kao takvi, instalirali smo Cerberus aplikaciju protiv krađe na naš Xiaomi Mi Max 2 uređaj i uređaje koji nisu Xiaomi (da djeluju kao kontrola). Kada deinstalirate Cerebrus aplikaciju na uređajima OnePlus 5 i Samsung Galaxy J7 Max (oba rade na Android 7), telefon traži lozinku sustava kao i lozinku aplikacije Cerberus.

No kad smo pokušali deinstalirati Cerberus s uređaja Mi Max 2, aplikacija se jednostavno deinstalirala bez traženja dodatnih ulaza - pročitajte lozinku.

Pročitajte i: 5 pokušaja je sve potrebno da se ispuca zaključavanje vašeg uzorka za Android

Mi Mover test

U izjavi za GuidingTech, glasnogovornik Xiaomija spomenuo je da je potrebna lozinka kako bi se Mi Mover mogao koristiti na uređaju.

Tako smo pronašli dva Xiaomi uređaja - Mi Max 2 i Redmi 4A -, na njih stavili brave otiska prsta i uzoraka te provjerili Mi Miver značajku. Na naše iznenađenje (ili ne!), Aplikacija Mi Mover nije pitala za lozinku.

Samo smo pitali tko će podatke poslati, tko će ih primati i koje sve podatke sustava ili aplikacija treba poslati. I Voila! Prijenos podataka započeo je bez potrebe za unošenjem lozinke prije ili nakon što je aplikacija Mi Mover dovršila prijenos podataka.

Ova je ranjivost također presudna, jer svatko tko dobije pristup vašem otključanom Xiaomi uređaju može lako klonirati sav sadržaj uređaja, uključujući podatke sustava i aplikacija u trenu.

Xiaomi se usredotočio na činjenicu da prvi sigurnosni sloj zaključava telefon, ali čak i na otključanom telefonu postoje druge Android smjernice koje je potrebno uvesti kako bi se izbjegla daljnja oštećenja - poput 2FA i lozinki specifičnih za aplikaciju.

Što kaže Xiaomi

Evo cjelovite izjave Xiaomija:

Escan je ranije danas podijelio izvještaj u kojem se navodi nedostatak problema u MIUI-u. U potpunosti se ne slažemo s navodima Escana u svom izvješću. Kao globalna internetska tvrtka, Xiaomi poduzima sve moguće korake kako bi osigurao da se naši uređaji i usluge pridržavaju naše politike o privatnosti.

Svaki počinitelj koji stekne fizički pristup otključanom telefonu sposoban je zlonamjerne aktivnosti, a otključani telefon u velikoj je opasnosti od krađe podataka korisnika.

To je razlog zašto mi u Xiaomi potičemo naše korisnike da budu svjesniji zaštite svojih privatnih podataka pomoću PIN-a, zaključavanja uzorka ili ugrađenog senzora otiska prsta koji je dostupan na većini naših pametnih telefona. Zapravo, poticanje korisnika da omoguće zaključavanje otiska prsta je standardni korak prilikom postavljanja Xiaomi pametnog telefona za prvo korištenje.

Mi Mover dizajniran je tako da bude pogodan alat za naše korisnike za prebacivanje svojih podataka sa starog pametnog telefona na novi telefon. Da bi Mi Mover pokrenuo ovaj postupak, potrebna je lozinka.

Još važnije, kako bi se koristio Mi Mover, pametni telefon mora biti otključan.

Dakle, za korisnika postoje dva sloja zaštite - zaključavanje telefona i Mi Mover lozinka koja su neophodna.