Lỗ hổng bảo mật lớn được tìm thấy trong miui: ứng dụng bảo mật của bên thứ ba có thể là

Thế giới Internet mở rộng nhanh chóng bị hủy hoại bởi nhiều lỗ hổng bảo mật phát sinh và eScan Antivirus có trụ sở ở Ấn Độ đã phát hành một báo cáo cho thấy nhiều lỗ hổng bảo mật được tìm thấy trên các thiết bị Xiaomi chạy hệ điều hành MIUI.

Với 13% thị phần, Xiaomi hiện là một trong những thương hiệu điện thoại thông minh hàng đầu tại Ấn Độ, là thị trường điện thoại thông minh lớn thứ hai trên thế giới, chỉ sau Trung Quốc.

Nghiên cứu của eScan chỉ ra nhiều lỗ hổng trong HĐH MIUI có khả năng đưa các lỗ hổng vào người dùng cuối cũng như các ứng dụng bảo mật.

Ứng dụng hệ thống của MI MIUI xử lý việc không cài đặt ứng dụng gây ra mối đe dọa đáng kể cho các ứng dụng Bảo mật. Các nhà nghiên cứu lưu ý rằng các ứng dụng này tại thời điểm chưa cài đặt sẽ yêu cầu mật khẩu trên tất cả các thiết bị khác, mặc dù trên MIUI, các ứng dụng này được cài đặt mà không cần mật khẩu, các nhà nghiên cứu lưu ý.

Một lỗ hổng bảo mật quan trọng khác được các nhà nghiên cứu lưu ý là ứng dụng Mi Mover không yêu cầu mật khẩu khi truyền dữ liệu từ thiết bị này sang thiết bị khác.

Từ quan điểm bảo mật, quá trình hủy cài đặt được triển khai trong MIUI đặt ra một mối đe dọa bảo mật đáng kể do quá trình xác thực được thực hiện bởi ứng dụng bị bỏ qua, họ đã thêm vào.

Các vấn đề bảo mật được tìm thấy bởi eScan

Các nhà nghiên cứu tại eScan đã tìm thấy các vấn đề sau với hệ điều hành MIUI của Xiaomi.

• Ứng dụng MI-Mover ghi đè hộp cát ứng dụng của HĐH Android
• Bất kỳ ứng dụng quản trị viên thiết bị nào cũng có thể được gỡ cài đặt mà không cần thu hồi quyền quản trị viên thiết bị
• Xiaomi với MI-Mover có thể được nhân bản trong vài phút mà không cần root thiết bị
• Các thiết bị MIUI thay vì xóa, ẩn ứng dụng Quản trị hồ sơ công việc
• Hồ sơ không gian làm việc không thể được phân biệt với hồ sơ cá nhân đặt ra một thách thức nghiêm trọng từ quan điểm bảo mật trong Quản lý di động doanh nghiệp

GT cũng đã kiểm tra lỗ hổng bảo mật

Trong số tất cả các vấn đề này, vấn đề cấp bách và phổ biến nhất là các lỗ hổng tấn công các ứng dụng bảo mật và một vấn đề khác liên quan đến Mi Mover.

Trao đổi với GuidingTech, người phát ngôn của Xiaomi luôn nhấn mạnh về thực tế rằng máy quét pin / mẫu / vân tay của thiết bị là rào cản đầu tiên của việc xâm nhập không mong muốn và để khai thác bất kỳ lỗ hổng nào được đề cập trong nghiên cứu, hàng rào bảo mật này đã bị phá vỡ.

Kiểm tra ứng dụng bảo mật

Đầu tiên, chúng tôi đã kiểm tra lỗ hổng bảo mật trong đó nêu rõ rằng bất kỳ ứng dụng nào có quyền quản trị viên thiết bị đều có thể bị xóa mà không thu hồi các quyền đó.

Trước đây, chúng tôi đã cài đặt ứng dụng chống trộm Cerberus trên thiết bị Xiaomi Mi Max 2 và các thiết bị không phải của Xiaomi (để hoạt động như một điều khiển). Khi gỡ cài đặt ứng dụng Cerebrus trên thiết bị OnePlus 5 và Samsung Galaxy J7 Max (cả hai đang chạy trên Android 7), điện thoại sẽ hỏi mật khẩu hệ thống cũng như mật khẩu ứng dụng Cerberus.

Nhưng khi chúng tôi thử gỡ cài đặt Cerberus khỏi thiết bị Mi Max 2, ứng dụng chỉ cần gỡ cài đặt mà không yêu cầu bất kỳ đầu vào bổ sung nào - đọc mật khẩu.

Cũng đọc: 5 nỗ lực là tất cả những gì cần thiết để bẻ khóa Khóa mẫu Android của bạn

Thử nghiệm Mi Mover

Trong tuyên bố của họ với GuidingTech, người phát ngôn của Xiaomi đã đề cập rằng cần phải có mật khẩu để sử dụng Mi Mover trên thiết bị.

Vì vậy, chúng tôi đã tìm thấy hai thiết bị Xiaomi - Mi Max 2 và Redmi 4A -, đặt khóa vân tay và hoa văn lên chúng và kiểm tra tính năng Mi Mover. Thật ngạc nhiên (hoặc không!) Ứng dụng Mi Mover không yêu cầu bất kỳ mật khẩu nào.

Họ chỉ hỏi chúng tôi ai sẽ gửi dữ liệu, ai sẽ nhận dữ liệu và tất cả dữ liệu hệ thống hoặc ứng dụng cần được gửi. Và Voila! Việc truyền dữ liệu bắt đầu mà không cần nhập bất kỳ mật khẩu nào trước hoặc sau khi ứng dụng Mi Mover hoàn thành việc truyền dữ liệu.

Lỗ hổng này cũng rất nghiêm trọng vì bất kỳ ai có quyền truy cập vào thiết bị Xiaomi đã mở khóa của bạn đều có thể dễ dàng sao chép tất cả nội dung của thiết bị, bao gồm cả dữ liệu hệ thống và ứng dụng trong nháy mắt.

Xiaomi đã tập trung vào thực tế là lớp bảo mật đầu tiên đang khóa điện thoại nhưng ngay cả trên điện thoại đã được mở khóa, vẫn có những hướng dẫn Android khác cần được đưa ra để tránh thiệt hại thêm - như mật khẩu dành riêng cho ứng dụng và 2FA.

Những gì Xiaomi nói

Dưới đây là tuyên bố đầy đủ của Xiaomi:

Escan trước đó hôm nay đã chia sẻ một báo cáo liệt kê một vài lo ngại trong MIUI. Chúng tôi hoàn toàn không đồng ý với các cáo buộc của Escan trong báo cáo của họ. Là một công ty Internet toàn cầu, Xiaomi thực hiện tất cả các bước có thể để đảm bảo các thiết bị và dịch vụ của chúng tôi tuân thủ chính sách bảo mật của chúng tôi.

Bất kỳ thủ phạm nào có quyền truy cập vật lý vào điện thoại đã mở khóa đều có khả năng hoạt động độc hại và điện thoại đã mở khóa có nguy cơ bị đánh cắp dữ liệu rất cao.

Đây là lý do tại sao, tại Xiaomi, chúng tôi khuyến khích người dùng nhận thức rõ hơn về việc bảo vệ dữ liệu riêng tư của họ bằng mã PIN, Khóa hoa văn hoặc cảm biến vân tay trên bo mạch có sẵn trên hầu hết các điện thoại thông minh của chúng tôi. Trên thực tế, nhắc nhở người dùng kích hoạt khóa vân tay là một bước tiêu chuẩn khi thiết lập điện thoại thông minh Xiaomi cho lần sử dụng đầu tiên.

Mi Mover được thiết kế để trở thành một công cụ thuận tiện cho người dùng của chúng tôi để di chuyển dữ liệu của họ từ điện thoại thông minh cũ sang điện thoại mới. Để Mi Mover bắt đầu quá trình này, cần có mật khẩu.

Quan trọng hơn, để sử dụng Mi Mover, điện thoại thông minh phải được mở khóa.

Do đó, có hai lớp bảo vệ cho người dùng - khóa điện thoại và mật khẩu Mi Mover là cần thiết.