Importante difetto di sicurezza riscontrato in miui: le app di sicurezza di terze parti possono essere ...

Il mondo in rapida espansione di Internet è guastato da numerose vulnerabilità di sicurezza che emergono e eScan Antivirus, con sede in India, ha rilasciato un rapporto che suggerisce molteplici difetti di sicurezza rilevati sui dispositivi Xiaomi che eseguono il sistema operativo MIUI.

Con una quota di mercato del 13 percento, Xiaomi è attualmente uno dei principali marchi di smartphone in India, che è il secondo più grande mercato di smartphone al mondo, subito dopo la Cina.

La ricerca di eScan evidenzia molteplici difetti nel sistema operativo MIUI che è in grado di introdurre vulnerabilità negli utenti finali e nelle app di sicurezza.

“L'app di sistema MIUI che gestisce la disinstallazione delle app rappresenta una minaccia significativa per le app di sicurezza. È stato osservato che queste app al momento della disinstallazione richiederebbero una password su tutti gli altri dispositivi, sebbene su MIUI, queste app vengano disinstallate senza la necessità di una password ", hanno osservato i ricercatori.

Un altro importante difetto di sicurezza notato dai ricercatori è che l'app Mi Mover non richiede una password per il trasferimento di dati da un dispositivo all'altro.

"Da un punto di vista della sicurezza, il processo di disinstallazione implementato in MIUI rappresenta una significativa minaccia alla sicurezza poiché il processo di autenticazione implementato dall'app viene ignorato", hanno aggiunto.

Problemi di sicurezza rilevati da eScan

I ricercatori di eScan hanno riscontrato i seguenti problemi con il sistema operativo MIUI di Xiaomi.

• L'app MI-Mover ha la precedenza sulla sandbox dell'applicazione del sistema operativo Android
• Qualsiasi app per l'amministratore del dispositivo può essere disinstallata senza revocare i diritti di amministratore del dispositivo
• Xiaomi con MI-Mover può essere clonato in pochi minuti senza dover eseguire il root del dispositivo
• I dispositivi MIUI anziché eliminare, nascondono l'app Admin profilo di lavoro
• I profili dell'area di lavoro non possono essere differenziati dal profilo personale che rappresenta una seria sfida dal punto di vista della sicurezza in Enterprise Mobility Management

GT ha testato anche la vulnerabilità della sicurezza

Tra tutti questi problemi, i problemi più urgenti e diffusi sono le vulnerabilità che attaccano le app di sicurezza e un'altra relativa a Mi Mover.

Parlando con GuidingTech, il portavoce di Xiaomi ha costantemente sottolineato il fatto che lo scanner pin / pattern / fingerprint del dispositivo è la prima barriera di accesso indesiderato e per sfruttare una delle vulnerabilità menzionate nella ricerca, questa barriera di sicurezza deve essere superata.

Test dell'app di sicurezza

Innanzitutto, abbiamo testato la vulnerabilità della sicurezza che afferma che qualsiasi app che dispone dell'autorizzazione dell'amministratore del dispositivo può essere eliminata senza revocare tali diritti.

Di per sé, abbiamo installato l'app Cerberus Anti-theft sul nostro dispositivo Xiaomi Mi Max 2 e sui dispositivi non Xiaomi (per fungere da controllo). Quando si disinstalla l'app Cerebrus sul dispositivo OnePlus 5 e Samsung Galaxy J7 Max (entrambi in esecuzione su Android 7), il telefono richiede la password di sistema e la password dell'app Cerberus.

Ma quando abbiamo provato a disinstallare Cerberus dal dispositivo Mi Max 2, l'app è stata semplicemente disinstallata senza richiedere input aggiuntivi: leggi la password.

Leggi anche: 5 tentativi è tutto ciò che serve per rompere il blocco del modello Android

Mi Mover Test

Nella loro dichiarazione a GuidingTech, il portavoce di Xiaomi ha affermato che è necessaria una password per utilizzare Mi Mover sul dispositivo.

Quindi abbiamo trovato due dispositivi Xiaomi - Mi Max 2 e Redmi 4A -, abbiamo messo su di loro blocchi di impronte digitali e pattern e abbiamo verificato la funzione Mi Mover. Con nostra sorpresa (o no!) L'app Mi Mover non ha richiesto alcuna password.

Ci ha semplicemente chiesto chi ha intenzione di inviare i dati, chi li riceverà e quali dati di sistema o app devono essere inviati. E voilà! Il trasferimento dei dati è iniziato senza la necessità di immettere password prima o dopo che l'app Mi Mover ha completato il trasferimento dei dati.

Anche questa vulnerabilità è fondamentale in quanto chiunque ottenga l'accesso al tuo dispositivo Xiaomi sbloccato può facilmente clonare tutti i contenuti del dispositivo, compresi i dati di sistema e delle app in un batter d'occhio.

Xiaomi si è concentrata sul fatto che il primo livello di sicurezza sta bloccando il telefono ma anche su un telefono sbloccato, ci sono altre linee guida Android che devono essere messe in atto per evitare ulteriori danni - come un 2FA e password specifiche dell'app.

Cosa dice Xiaomi

Ecco la dichiarazione completa di Xiaomi:

Escan oggi ha condiviso un rapporto che elenca alcune preoccupazioni in merito alla MIUI. Siamo fortemente in disaccordo con le accuse mosse da Escan nella loro relazione. Come società Internet globale, Xiaomi prende tutte le misure possibili per garantire che i nostri dispositivi e servizi aderiscano alla nostra politica sulla privacy.

Qualsiasi autore che accede fisicamente a un telefono sbloccato è in grado di svolgere attività dannose e un telefono sbloccato è fortemente a rischio di furto dei dati dell'utente.

Per questo motivo, noi di Xiaomi incoraggiamo i nostri utenti a essere più consapevoli di proteggere i propri dati privati ​​utilizzando PIN, Pattern lock o il sensore di impronte digitali integrato disponibile sulla maggior parte dei nostri smartphone. In effetti, richiedere agli utenti di abilitare il blocco delle impronte digitali è un passaggio standard quando si configura uno smartphone Xiaomi per il primo utilizzo.

Mi Mover è progettato per essere uno strumento conveniente per i nostri utenti di spostare i loro dati da un vecchio smartphone a un nuovo telefono. Per consentire a Mi Mover di avviare questo processo, è richiesta una password.

Ancora più importante, per usare Mi Mover, lo smartphone deve essere sbloccato.

Pertanto, sono necessari due livelli di protezione per l'utente - blocco del telefono e una password Mi Mover.