Groot beveiligingsfout gevonden in MIUI: beveiligingsapps van derden kunnen eenvoudig worden verwijderd

De snel groeiende wereld van internet wordt aangetast door talloze beveiligingskwetsbaarheden die zich voordoen en zijn gebaseerd in India eScan Antivirus heeft een rapport uitgebracht waarin wordt gesuggereerd dat er meerdere beveiligingsfouten zijn aangetroffen op actieve Xiaomi-apparaten MIUI besturingssysteem.




Met een marktaandeel van 13 procent is Xiaomi momenteel een van de toonaangevende smartphonemerken in India, net na China, de tweede grootste smartphonemarkt ter wereld.



De onderzoek door eScan wijst op meerdere fouten in het MIUI OS die kwetsbaarheden kunnen introduceren in zowel eindgebruiker als beveiligingsapps.

'MIUI's systeem-app die de verwijdering van de apps afhandelt, vormt een belangrijke bedreiging voor beveiligings-apps. Er is geconstateerd dat deze apps op het moment van de installatie op alle andere apparaten om een ​​wachtwoord zouden vragen, hoewel op MIUI deze apps zonder installatie van een wachtwoord worden verwijderd ', aldus de onderzoekers.

Een ander belangrijk beveiligingslek dat door de onderzoekers werd opgemerkt, was dat de Mi Mover-app geen wachtwoord vereist bij het overbrengen van gegevens van het ene apparaat naar het andere.

'Uit veiligheidsoogpunt vormt het proces van de-installatie geïmplementeerd in MIUI een aanzienlijke beveiligingsrisico omdat het door de app geïmplementeerde authenticatieproces wordt omzeild,' voegde ze eraan toe.





Beveiligingsproblemen gevonden door eScan

Onderzoekers van eScan ontdekten de volgende problemen met het MIUI-besturingssysteem van Xiaomi.

  • MI-Mover App overschrijft de toepassingssandbox van het Android-besturingssysteem
  • Elke app voor apparaatbeheerders kan worden verwijderd zonder de apparaatbeheerdersrechten in te trekken
  • Xiaomi met MI-Mover kan in enkele minuten worden gekloond zonder het apparaat te rooten
  • MIUI-apparaten verbergen niet de Work-Profile Admin-app
  • Werkruimteprofielen kunnen niet worden onderscheiden van het persoonlijke profiel dat vanuit veiligheidsoogpunt een serieuze uitdaging vormt in Enterprise Mobility Management




GT heeft ook het beveiligingslek getest

Van al deze problemen zijn de meest urgente en wijdverbreide problemen de kwetsbaarheden die beveiligingsapps aanvallen en een andere die verband houdt met Mi Mover.

In gesprek met GuidingTech benadrukte de woordvoerder van Xiaomi consequent het feit dat de pin / patroon / vingerafdrukscanner van het apparaat de eerste barrière is voor ongewenste toegang en om de in het onderzoek genoemde kwetsbaarheden te misbruiken, deze beveiligingsbarrière moet worden doorbroken.

Test van beveiligingsapp

Eerst hebben we het beveiligingslek getest, waarin staat dat elke app met apparaatbeheerdersrechten kan worden verwijderd zonder die rechten in te trekken.

Per se hebben we geïnstalleerd Cerberus Anti-diefstal appop onze Xiaomi Mi Max 2 apparaat en niet-Xiaomi-apparaten (om als controle te fungeren). Bij het verwijderen van de Cerebrus-app op de OnePlus 5 en Samsung Galaxy J7 Max (beide op Android 7), vraagt ​​de telefoon om het systeemwachtwoord en de Cerberus app wachtwoord.

Maar toen we probeerden Cerberus te verwijderen van het Mi Max 2-apparaat, werd de app eenvoudig verwijderd zonder om extra invoer te vragen - lees wachtwoord.

Lees ook: 5 pogingen is alles wat nodig is om uw Android-patroonslot te kraken

Mijn verplaatsingstest

In zijn verklaring aan GuidingTech zei Xiaomi-woordvoerder dat een wachtwoord vereist is om Mi Mover op het apparaat te gebruiken.

Dus vonden we twee Xiaomi-apparaten - Mi Max 2 en Redmi 4a -, zet vingerafdruk- en patroonvergrendelingen erop en bekijk de Mi Mover-functie. Tot onze verbazing (of niet!) Vroeg de Mi Mover-app om geen enkel wachtwoord.

Het vroeg ons gewoon wie de gegevens gaat verzenden, wie het gaat ontvangen en wat alle systeem- of app-gegevens moeten worden verzonden. En voila! De gegevensoverdracht is gestart zonder dat er wachtwoordinvoer nodig was, vóór of nadat de Mi Mover-app de gegevensoverdracht had voltooid.

Dit beveiligingslek is ook van cruciaal belang, want iedereen die toegang krijgt tot uw ontgrendelde Xiaomi-apparaat, kan in een handomdraai alle inhoud van het apparaat klonen, inclusief systeem- en app-gegevens.

Xiaomi richt zich op het feit dat de eerste beveiligingslaag de telefoon vergrendelt, maar zelfs op een ontgrendelde telefoon zijn er andere Android-richtlijnen die moeten worden ingevoerd om verdere schade te voorkomen, zoals 2FA- en app-specifieke wachtwoorden.





Wat Xiaomi zegt

Hier is de volledige verklaring van Xiaomi:

Escan deelde eerder vandaag een rapport met weinig zorgen in MIUI. Wij zijn het sterk oneens met de aantijgingen van Escan in hun rapport. Als een wereldwijd internetbedrijf neemt Xiaomi alle mogelijke stappen om ervoor te zorgen dat onze apparaten en services voldoen aan ons privacybeleid.

Elke dader die fysieke toegang tot een ontgrendelde telefoon verkrijgt, is in staat tot kwaadwillende activiteit en een ontgrendelde telefoon loopt een groot risico dat gebruikersgegevens worden gestolen.

Dit is de reden waarom we bij Xiaomi onze gebruikers aanmoedigen om zich meer bewust te zijn van het beschermen van hun privégegevens met behulp van pincode, patroonsloten of de ingebouwde vingerafdruksensor die beschikbaar is op de meeste van onze smartphones. Gebruikers vragen om vingerafdrukvergrendeling in te schakelen is een standaardstap bij het instellen van een Xiaomi-smartphone voor het eerste gebruik.

Mi Mover is ontworpen als een handig hulpmiddel voor onze gebruikers om hun gegevens van een oude smartphone naar een nieuwe telefoon te verplaatsen. Om Mi Mover dit proces te laten starten, is een wachtwoord vereist.

Wat nog belangrijker is, moet de smartphone worden ontgrendeld om Mi Mover te gebruiken.

Er zijn dus twee beschermingslagen voor de gebruiker - telefoonblokkering en een Mi Mover-wachtwoord die nodig zijn.