Основна грешка в сигурността, открита в MIUI: Приложенията за сигурност на трети страни могат да бъдат деинсталирани лесно

Бързо разрастващият се свят на Интернет е помрачен от многобройни уязвимости в областта на сигурността, възникващи и базирани в Индия Анти Antivirus пусна доклад, предполагащ множество пропуски в сигурността, открити на работещите устройства на Xiaomi MIUI операционна система.




С 13-процентен пазарен дял Xiaomi в момента е един от най-добрите водещи марки смартфони в Индия, който е вторият по големина пазар на смартфони в света, непосредствено след Китай.



Най- изследвания от eScan посочва множество недостатъци в MIUI OS, която е в състояние да въведе уязвимости в крайния потребител, както и в приложенията за сигурност.

„Системното приложение на MIUI, което управлява неинсталирането на приложенията, представлява значителна заплаха за приложенията за сигурност. Беше забелязано, че тези приложения по време на деинсталиране биха поискали парола на всички останали устройства, въпреки че в MIUI тези приложения се деинсталират без нужда от парола “, отбелязват изследователите.

Друг важен недостатък в сигурността, отбелязан от изследователите, е, че приложението Mi Mover не изисква парола при прехвърляне на данни от едно устройство на друго.

„От гледна точка на сигурността процесът на деинсталиране, реализиран в MIUI, представлява значителна заплаха за сигурността, тъй като процесът на удостоверяване, реализиран от приложението, е заобиколен“, добавиха те.





Проблеми със сигурността, намерени от eScan

Изследователите от eScan откриха следните проблеми с MIUI операционната система на Xiaomi.

  • MI-Mover App отменя приложението на пясъчника на приложението на операционната система Android
  • Всяко приложение за администратор на устройства може да се деинсталира, без да се отнемат правата му за администратор на устройства
  • Xiaomi с MI-Mover може да бъде клониран за няколко минути, без да е необходимо да стартирате устройството
  • MIUI устройства, вместо да изтриете, крие приложението Work-Profile Admin
  • Профилите на работното пространство не могат да бъдат разграничени от личния профил, който представлява сериозно предизвикателство от гледна точка на сигурността в Enterprise Mobility Management




GT тества и уязвимостта на сигурността

От всички тези проблеми, най-належащите и широко разпространени проблеми са уязвимостите, атакуващи приложения за сигурност, и още един, свързан с Mi Mover.

Говорейки с GuidingTech, говорителят на Xiaomi последователно подчертава факта, че скенерът за пин / модел / пръстов отпечатък на устройството е първата бариера за нежелано влизане и за използване на която и да е от уязвимостите, споменати в изследването, тази бариера за сигурност трябва да бъде преодоляна.

Тест за приложение за сигурност

Първо тествахме уязвимостта на защитата, която гласи, че всяко приложение, което има разрешение за администратор на устройство, може да бъде изтрито, без да отнема тези права.

По себе си инсталирахме Приложението Cerberus против кражбана нашия Xiaomi Mi Max 2 устройство и устройства, които не са Xiaomi (за да действат като контрол). Когато деинсталирате приложението Cerebrus на OnePlus 5 и Samsung Galaxy J7 Max (и двете работещи на Android 7), телефонът изисква системната парола, както и Cerberus парола за приложение.

Но когато се опитахме да деинсталираме Cerberus от устройството Mi Max 2, приложението просто се деинсталира, без да иска допълнителни добавки - прочетете паролата.

Прочетете също: 5 опити е всичко, което е необходимо, за да пропуснете заключването на вашия модел на Android

Моят тест за движение

В изявлението си пред GuidingTech говорителят на Xiaomi спомена, че е необходима парола, за да се използва Mi Mover на устройството.

Така намерихме две устройства Xiaomi - Mi Max 2 и Редми 4а -, поставете отпечатъци от пръсти и шаблони върху тях и проверете функцията Mi Mover. За наша изненада (или не!) Приложението Mi Mover не поиска никаква парола.

Просто ни попита кой ще изпрати данните, кой ще ги получи и какви данни за системата или приложението трябва да бъдат изпратени. И Вуала! Прехвърлянето на данни започна без да е необходимо въвеждане на парола преди или след като приложението Mi Mover завърши прехвърлянето на данните.

Тази уязвимост също е критична, тъй като всеки, който получи достъп до отключеното ви устройство Xiaomi, може лесно да клонира цялото съдържание на устройството, включително системните данни и данните от приложението.

Xiaomi се фокусира върху факта, че първият защитен слой заключва телефона, но дори и при отключен телефон, има други указания за Android, които трябва да бъдат въведени, за да избегнат по-нататъшни щети - такива 2FA и специфични пароли за приложения.





Какво казва Xiaomi

Ето пълното изявление на Xiaomi:

Ескан по-рано днес сподели доклад, в който са изброени малко опасения в MIUI. Ние категорично не сме съгласни с твърденията на Ескан в доклада им. Като глобална интернет компания, Xiaomi предприема всички възможни стъпки, за да гарантира, че нашите устройства и услуги спазват нашата политика за поверителност.

Всеки извършител, който получи физически достъп до отключен телефон, е способен на злонамерена дейност и отключен телефон е силно застрашен от открадване на потребителски данни.

Ето защо ние от Xiaomi насърчаваме нашите потребители да са по-наясно с охраната на личните им данни с помощта на PIN, заключване на шаблони или вградения сензор за пръстови отпечатъци, наличен на повечето от нашите смартфони. Всъщност подтикването на потребителите да активират заключването на пръстови отпечатъци е стандартна стъпка при настройка на смартфона Xiaomi за първа употреба.

Mi Mover е проектиран да бъде удобен инструмент за нашите потребители да преместват своите данни от стар смартфон към нов телефон. За да може Mi Mover да започне този процес, е необходима парола.

По-важното е, че за да използвате Mi Mover, смартфонът трябва да бъде отключен.

По този начин има два слоя защита за потребителя - заключване на телефона и парола за Mi Mover, които са необходими.