Större säkerhetsfel som finns i miui: säkerhetsappar från tredje part kan vara ...

Den snabbt expanderande världen av internet skadas av många säkerhetsproblem som uppstår och Indien-baserade eScan Antivirus har släppt en rapport som antyder flera säkerhetsfel som finns på Xiaomi-enheter som kör MIUI-operativsystem.

Med en marknadsandel på 13 procent är Xiaomi för närvarande ett av de ledande smarttelefonmärkena i Indien, som är den näst största smartphonemarknaden i världen, strax efter Kina.

Forskningen från eScan påpekar flera brister i MIUI OS som kan införa sårbarheter i slutanvändare och säkerhetsappar.

”MIUIs systemapp som hanterar avinstallationen av apparna utgör ett betydande hot för säkerhetsappar. Det har observerats att dessa appar vid avinstallationen skulle begära ett lösenord på alla andra enheter, även om de på MIUI blir uninstallerade utan att behöva lösenord, ”konstaterade forskarna.

En annan viktig säkerhetsbrist som forskarna noterade var att Mi Mover-appen inte kräver ett lösenord vid överföring av data från en enhet till en annan.

"Ur säkerhetssynpunkt utgör processen för avinstallation som implementerats i MIUI ett betydande säkerhetshot eftersom autentiseringsprocessen som implementeras av appen förbi", tillade de.

Säkerhetsproblem hittades av eScan

Forskare på eScan fann följande problem med Xiaomis operativsystem MIUI.

• MI-Mover App åsidosätter applikationssandlådan i Android OS
• Varje enhetsadministratörsapp kan avinstalleras utan att återkalla dess enhetsadministratörsrättigheter
• Xiaomi med MI-Mover kan klonas på några minuter utan att behöva rota enheten
• MIUI-enheter snarare än att ta bort, döljer appen Work-Profile Admin
• Arbetsyteprofiler kan inte differentieras från den personliga profilen som utgör en allvarlig utmaning ur säkerhetssynpunkt i Enterprise Mobility Management

GT testade också säkerhetssårbarheten

Av alla dessa problem är de mest pressande och mest utbredda problemen de sårbarheter som attackerar säkerhetsappar och en annan relaterad till Mi Mover.

Tala med GuidingTech, Xiaomi talesman påpekade konsekvent på det faktum att enhetens stift / mönster / fingeravtrycksskanner är den första hinder för oönskad inträde och för att utnyttja något av de sårbarheter som nämns i forskningen måste denna säkerhetsbarriär brytas.

Säkerhetsapptest

Först testade vi säkerhetssårbarheten som säger att alla appar som har enhetsadministratörstillstånd kan raderas utan att återkalla dessa rättigheter.

Per se installerade vi Cerberus Anti-theft-app på vår Xiaomi Mi Max 2-enhet och enheter som inte är Xiaomi (för att fungera som en kontroll). När du avinstallerar Cerebrus-appen på OnePlus 5 och Samsung Galaxy J7 Max (båda körs på Android 7), ber telefonen om systemlösenordet samt Cerberus-applösenordet.

Men när vi försökte avinstallera Cerberus från Mi Max 2-enheten, avinstallerades appen helt enkelt utan att be om ytterligare ingångar - läs lösenord.

Läs också: 5 försök är allt som krävs för att knäcka ditt Android-mönsterlås

Mi Mover Test

I sitt uttalande till GuidingTech nämnde talesman för Xiaomi att ett lösenord krävs för att kunna använda Mi Mover på enheten.

Så vi hittade två Xiaomi-enheter - Mi Max 2 och Redmi 4A -, satte fingeravtryck och mönsterlås på dem och kollade in funktionen Mi Mover. Till vår överraskning (eller inte!) Begärde Mi Mover-appen inget lösenord överhuvudtaget.

Det frågade oss bara vem som ska skicka uppgifterna, vem som ska ta emot dem och vad all system- eller appdata måste skickas. Och Voila! Dataöverföringen startade utan behov av någon lösenordsinmatning antingen före eller efter att Mi Mover-appen slutförde överföringen av data.

Den här sårbarheten är också kritisk eftersom alla som får tillgång till din olåsta Xiaomi-enhet enkelt kan klona allt innehållet på enheten, inklusive system- och appdata på en vits.

Xiaomi har fokuserat på det faktum att det första säkerhetslagret låser telefonen men även på en olåst telefon finns det andra Android-riktlinjer som måste införas för att undvika ytterligare skador - sådana 2FA- och appspecifika lösenord.

Vad Xiaomi säger

Här är Xiaomys fullständiga uttalande:

Escan delade tidigare i dag en rapport som visar några bekymmer i MIUI. Vi håller inte mycket med påståendena från Escan i deras rapport. Som ett globalt internetföretag tar Xiaomi alla möjliga åtgärder för att säkerställa att våra enheter och tjänster följer vår integritetspolicy.

Alla gärningsmän som får fysisk tillgång till en olåst telefon kan skadlig aktivitet och en olåst telefon riskerar starkt att användardata blir stulna.

Därför uppmuntrar vi på Xiaomi våra användare att vara mer medvetna om att skydda deras privata data med hjälp av PIN, Mönsterlås eller fingeravtryckssensorn ombord som finns på de flesta av våra smartphones. Faktum är att uppmana användare att aktivera fingeravtryckslås är ett standardsteg när man installerar en Xiaomi-smarttelefon för första användning.

Mi Mover är utformad för att vara ett bekvämt verktyg för våra användare att flytta sina data från en gammal smartphone till en ny telefon. För att Mi Mover ska kunna initiera denna process krävs ett lösenord.

Ännu viktigare är att smarttelefonen måste låsas upp för att använda Mi Mover.

Det finns alltså två skyddslager för användarstelefonlåset och ett Mi Mover-lösenord som är nödvändigt.