พบข้อบกพร่องด้านความปลอดภัยที่สำคัญใน miui: แอปความปลอดภัยของบุคคลที่สามสามารถ ...

โลกที่ขยายตัวอย่างรวดเร็วของอินเทอร์เน็ตถูกทำลายโดยช่องโหว่ด้านความปลอดภัยจำนวนมากที่เกิดขึ้นและ eScan Antivirus ในประเทศอินเดียได้ออกรายงานแนะนำข้อบกพร่องด้านความปลอดภัยหลายประการที่พบในอุปกรณ์ Xiaomi ที่ใช้ระบบปฏิบัติการ MIUI

ด้วยส่วนแบ่งการตลาดร้อยละ 13 ปัจจุบัน Xiaomi เป็นหนึ่งในแบรนด์สมาร์ทโฟนชั้นนำในอินเดียซึ่งเป็นตลาดสมาร์ทโฟนที่ใหญ่เป็นอันดับสองของโลกรองจากจีน

การวิจัยโดย eScan ชี้ให้เห็นข้อบกพร่องหลายประการใน MIUI OS ซึ่งสามารถแนะนำช่องโหว่ให้กับผู้ใช้ปลายทางและแอพรักษาความปลอดภัย

“ แอประบบของ MIUI ที่จัดการการยกเลิกการติดตั้งแอพเป็นภัยคุกคามที่สำคัญสำหรับแอพความปลอดภัย มีการตั้งข้อสังเกตว่าแอพเหล่านี้ในเวลาที่ไม่ได้ทำการติดตั้งจะขอรหัสผ่านในอุปกรณ์อื่น ๆ ทั้งหมดถึงแม้ว่าใน MIUI แอพเหล่านี้จะถูกถอนการติดตั้งโดยไม่ต้องใช้รหัสผ่าน "นักวิจัยกล่าว

ข้อบกพร่องด้านความปลอดภัยที่สำคัญอีกประการหนึ่งที่นักวิจัยระบุไว้คือแอป Mi Mover ไม่จำเป็นต้องใช้รหัสผ่านเมื่อทำการถ่ายโอนข้อมูลจากอุปกรณ์หนึ่งไปยังอุปกรณ์อื่น

“ จากมุมมองด้านความปลอดภัยกระบวนการยกเลิกการติดตั้งที่นำไปใช้ใน MIUI จะเป็นภัยคุกคามความปลอดภัยที่สำคัญเนื่องจากกระบวนการตรวจสอบที่แอพพลิเคชั่นดำเนินการโดยแอพถูกบายพาส” พวกเขากล่าวเสริม

ปัญหาความปลอดภัยที่พบโดย eScan

นักวิจัยที่ eScan พบปัญหาต่อไปนี้กับระบบปฏิบัติการ MIUI ของ Xiaomi

• MI-Mover App จะแทนที่ Sandbox แอปพลิเคชันของ Android OS
• แอปผู้ดูแลอุปกรณ์สามารถถอนการติดตั้งได้โดยไม่เพิกถอนสิทธิ์ผู้ดูแลระบบของอุปกรณ์
• Xiaomi ที่มี MI-Mover สามารถทำการโคลนได้ในเวลาไม่กี่นาทีโดยไม่จำเป็นต้องรูทเครื่อง
• อุปกรณ์ MIUI แทนที่จะลบจะซ่อนแอปผู้ดูแลระบบโปรไฟล์การทำงาน
• โปรไฟล์เวิร์กสเปซไม่สามารถแยกความแตกต่างจากโปรไฟล์ส่วนบุคคลที่ท้าทายอย่างมากจากมุมมองความปลอดภัยใน Enterprise Mobility Management

GT ทดสอบช่องโหว่ด้านความปลอดภัยด้วย

จากปัญหาทั้งหมดเหล่านี้ปัญหาที่เร่งด่วนและแพร่หลายที่สุดคือช่องโหว่ที่โจมตีแอปรักษาความปลอดภัยและอีกหนึ่งรายการที่เกี่ยวข้องกับ Mi Mover

เมื่อพูดถึง GuidingTech โฆษกของ Xiaomi ได้เน้นย้ำอย่างต่อเนื่องถึงความจริงที่ว่าเครื่องสแกนพิน / รูปแบบ / ลายนิ้วมือเป็นอุปสรรคแรกของการเข้าที่ไม่พึงประสงค์และเพื่อใช้ประโยชน์จากช่องโหว่ที่ระบุไว้ในการวิจัย

การทดสอบแอปรักษาความปลอดภัย

อันดับแรกเราทดสอบช่องโหว่ความปลอดภัยซึ่งระบุว่าแอปใด ๆ ที่มีสิทธิ์ผู้ดูแลระบบอุปกรณ์สามารถลบได้โดยไม่เพิกถอนสิทธิ์เหล่านั้น

นอกจากนี้เรายังติดตั้งแอปป้องกันการโจรกรรม Cerberus บนอุปกรณ์ Xiaomi Mi Max 2 และอุปกรณ์ที่ไม่ใช่ของ Xiaomi (เพื่อใช้เป็นตัวควบคุม) เมื่อถอนการติดตั้งแอพ Cerebrus บนอุปกรณ์ OnePlus 5 และ Samsung Galaxy J7 Max (ทั้งที่ทำงานบน Android 7) โทรศัพท์จะขอรหัสผ่านระบบรวมถึงรหัสผ่านสำหรับแอป Cerberus

แต่เมื่อเราลองถอนการติดตั้ง Cerberus จากอุปกรณ์ Mi Max 2 แอพจะถูกถอนการติดตั้งโดยไม่ต้องขออินพุตเพิ่มเติม - อ่านรหัสผ่าน

ยังอ่าน: 5 ความพยายามคือทั้งหมดที่ใช้เพื่อทำการถอดรหัสรูปแบบ Android ของคุณ

การทดสอบผู้เสนอญัตติ Mi

ในคำแถลงของพวกเขาต่อ GuidingTech โฆษกของ Xiaomi กล่าวว่าต้องใช้รหัสผ่านเพื่อใช้ Mi Mover บนอุปกรณ์

ดังนั้นเราจึงพบอุปกรณ์ Xiaomi สองเครื่อง ได้แก่ Mi Max 2 และ Redmi 4A - ใส่ลายนิ้วมือและล็อคลวดลายบนพวกเขาและตรวจสอบคุณสมบัติ Mi Mover ด้วยความประหลาดใจของเรา (หรือไม่!) แอป Mi Mover ไม่ได้ถามรหัสผ่านใด ๆ

มันเพิ่งถามเราว่าใครกำลังจะส่งข้อมูลใครจะได้รับข้อมูลและจะต้องส่งข้อมูลระบบหรือแอปใดทั้งหมด และ Voila! การถ่ายโอนข้อมูลเริ่มต้นโดยไม่จำเป็นต้องใส่รหัสผ่านใด ๆ ทั้งก่อนหรือหลังแอพ Mi Mover เสร็จสิ้นการถ่ายโอนข้อมูล

ช่องโหว่นี้มีความสำคัญเช่นกันเนื่องจากทุกคนที่เข้าถึงอุปกรณ์ปลดล็อค Xiaomi ของคุณสามารถโคลนเนื้อหาทั้งหมดของอุปกรณ์ได้อย่างง่ายดายรวมถึงระบบและข้อมูลแอพในระยะเวลาอันสั้น

Xiaomi ได้เล็งเห็นถึงความจริงที่ว่าเลเยอร์ความปลอดภัยตัวแรกกำลังล็อคโทรศัพท์ แต่แม้จะอยู่ในโทรศัพท์ที่ถูกปลดล็อกก็ยังมีแนวทาง Android อื่น ๆ ที่จำเป็นต้องมีเพื่อหลีกเลี่ยงความเสียหายเพิ่มเติม - เช่น 2FA และรหัสผ่านเฉพาะแอป

สิ่งที่ Xiaomi พูด

นี่คือแถลงการณ์ที่สมบูรณ์ของ Xiaomi:

Escan เมื่อเร็ว ๆ นี้ได้แชร์รายงานที่แสดงข้อกังวลเล็กน้อยใน MIUI เราไม่เห็นด้วยอย่างยิ่งกับข้อกล่าวหาที่ทำโดย Escan ในรายงานของพวกเขา ในฐานะ บริษัท อินเทอร์เน็ตระดับโลก Xiaomi ทำตามขั้นตอนที่เป็นไปได้ทั้งหมดเพื่อให้แน่ใจว่าอุปกรณ์และบริการของเราเป็นไปตามนโยบายความเป็นส่วนตัวของเรา

ผู้กระทำผิดใด ๆ ที่ได้รับการเข้าถึงทางกายภาพไปยังโทรศัพท์ที่ถูกปลดล็อคนั้นสามารถทำกิจกรรมที่เป็นอันตรายได้

นี่คือเหตุผลที่เราที่ Xiaomi สนับสนุนให้ผู้ใช้ของเราระวังการปกป้องข้อมูลส่วนตัวของพวกเขาโดยใช้ PIN, ล็อครูปแบบหรือเซ็นเซอร์ลายนิ้วมือออนบอร์ดที่มีอยู่ในสมาร์ทโฟนส่วนใหญ่ของเรา ในความเป็นจริงการขอให้ผู้ใช้เพื่อเปิดใช้งานการล็อคลายนิ้วมือเป็นขั้นตอนมาตรฐานเมื่อตั้งค่าสมาร์ทโฟน Xiaomi สำหรับการใช้งานครั้งแรก

Mi Mover ออกแบบมาให้เป็นเครื่องมือที่สะดวกสำหรับผู้ใช้ของเราในการย้ายข้อมูลจากสมาร์ทโฟนเครื่องเก่าไปยังโทรศัพท์เครื่องใหม่ เพื่อให้ Mi Mover เริ่มต้นกระบวนการนี้ต้องใช้รหัสผ่าน

ที่สำคัญเพื่อใช้ Mi Mover ต้องปลดล็อคสมาร์ทโฟน

ดังนั้นจึงมีการป้องกันสองชั้นสำหรับการล็อคผู้ใช้และรหัสผ่าน Mi Mover ที่จำเป็น