Grande falha de segurança encontrada em miui: aplicativos de segurança de terceiros podem ser…

O mundo em rápida expansão da Internet está marcado por inúmeras vulnerabilidades de segurança, e o eScan Antivirus, da Índia, divulgou um relatório sugerindo várias falhas de segurança encontradas nos dispositivos Xiaomi que executam o sistema operacional MIUI.

Com 13% de market share, a Xiaomi é atualmente uma das principais marcas de smartphones da Índia, que é o segundo maior mercado de smartphones do mundo, logo após a China.

A pesquisa da eScan aponta várias falhas no MIUI OS, que é capaz de introduzir vulnerabilidades no usuário final, bem como em aplicativos de segurança.

“O aplicativo de sistema do MIUI, que lida com a desinstalação dos aplicativos, representa uma ameaça significativa aos aplicativos de segurança. Foi observado que esses aplicativos no momento da desinstalação pedem uma senha em todos os outros dispositivos, embora no MIUI esses aplicativos sejam desinstalados sem a necessidade de uma senha ”, observaram os pesquisadores.

Outra importante falha de segurança apontada pelos pesquisadores foi que o aplicativo Mi Mover não exige uma senha ao transferir dados de um dispositivo para outro.

“Do ponto de vista da segurança, o processo de desinstalação implementado no MIUI representa uma ameaça significativa à segurança, já que o processo de autenticação implementado pelo aplicativo é ignorado”, acrescentaram.

Problemas de segurança encontrados pelo eScan

Pesquisadores da eScan descobriram os seguintes problemas com o sistema operacional MIUI da Xiaomi.

• MI-Mover App sobrescreve a sandbox do aplicativo do sistema operacional Android
• Qualquer aplicativo de administrador de dispositivos pode ser desinstalado sem revogar seus direitos de administrador de dispositivo
• Xiaomi com MI-Mover pode ser clonado em poucos minutos sem precisar enraizar o dispositivo
• Dispositivos MIUI em vez de excluir, oculta o aplicativo Administrador do Perfil de Trabalho
• Os perfis do espaço de trabalho não podem ser diferenciados do perfil pessoal, representando um sério desafio do ponto de vista da segurança no Enterprise Mobility Management.

GT testou a vulnerabilidade de segurança também

De todos esses problemas, os problemas mais prementes e generalizados são as vulnerabilidades que atacam os aplicativos de segurança e outra relacionada ao Mi Mover.

Conversando com a GuidingTech, o porta-voz da Xiaomi ressaltou consistentemente que o scanner de pinos / padrões / impressões digitais é a primeira barreira de entrada indesejada e para explorar qualquer uma das vulnerabilidades mencionadas na pesquisa, essa barreira de segurança precisa ser quebrada.

Teste de aplicativo de segurança

Primeiro, testamos a vulnerabilidade de segurança, que afirma que qualquer aplicativo que tenha permissão de administrador do dispositivo pode ser excluído sem revogar esses direitos.

Por si só, instalamos o aplicativo Cerberus Anti-theft no nosso dispositivo Xiaomi Mi Max 2 e dispositivos não Xiaomi (para agir como um controle). Ao desinstalar o aplicativo Cerebrus no dispositivo OnePlus 5 e Samsung Galaxy J7 Max (ambos executados no Android 7), o telefone solicita a senha do sistema, bem como a senha do aplicativo da Cerberus.

Mas quando tentamos desinstalar o Cerberus do dispositivo Mi Max 2, o aplicativo simplesmente foi desinstalado sem solicitar entradas adicionais - leia a senha.

Leia também: 5 tentativas é tudo o que é necessário para quebrar o seu padrão Android Lock

Mi Mover Test

Em sua declaração à GuidingTech, o porta-voz da Xiaomi mencionou que é necessária uma senha para usar o Mi Mover no dispositivo.

Então, encontramos dois dispositivos Xiaomi - Mi Max 2 e Redmi 4A -, colocamos impressões digitais e bloqueios de padrão neles e verificamos o recurso Mi Mover. Para nossa surpresa (ou não!) O aplicativo Mi Mover não pediu nenhuma senha.

Ele apenas nos perguntou quem iria enviar os dados, quem iria recebê-los e o que todos os dados do sistema ou do aplicativo precisavam ser enviados. E voila! A transferência de dados foi iniciada sem a necessidade de qualquer entrada de senha antes ou depois que o aplicativo Mi Mover concluiu a transferência dos dados.

Esta vulnerabilidade também é crítica, pois qualquer um que ganhe acesso ao seu dispositivo Xiaomi desbloqueado pode facilmente clonar todo o conteúdo do dispositivo, incluindo dados do sistema e do aplicativo em um instante.

A Xiaomi tem se concentrado no fato de que a primeira camada de segurança está bloqueando o telefone, mas mesmo em um telefone desbloqueado, há outras diretrizes do Android que precisam ser colocadas em prática para evitar mais danos - como senhas específicas para aplicativos e 2FAs.

O que diz Xiaomi

Aqui está a declaração completa da Xiaomi:

Escan hoje cedo compartilhou um relatório que lista reduz algumas preocupações em MIUI. Nós discordamos fortemente das alegações feitas pela Escan em seu relatório. Como uma empresa global de Internet, a Xiaomi toma todas as medidas possíveis para garantir que nossos dispositivos e serviços cumpram nossa política de privacidade.

Qualquer perpetrador que consiga acesso físico a um telefone desbloqueado é capaz de realizar atividades maliciosas e um telefone desbloqueado corre grande risco de roubo de dados do usuário.

É por isso que, na Xiaomi, incentivamos nossos usuários a ficarem mais atentos à proteção de seus dados privados usando PIN, bloqueios de padrão ou o sensor de impressão digital a bordo disponível na maioria dos nossos smartphones. De fato, solicitar aos usuários que ativem o bloqueio de impressões digitais é uma etapa padrão ao configurar um smartphone Xiaomi para o primeiro uso.

O Mi Mover foi projetado para ser uma ferramenta conveniente para nossos usuários moverem seus dados de um smartphone antigo para um novo. Para que o Mi Mover inicie esse processo, é necessária uma senha.

Mais importante, para usar o Mi Mover, o smartphone precisa ser desbloqueado.

Assim, existem duas camadas de proteção para o usuário - o bloqueio do telefone e uma senha do Mi Mover que são necessárias.