W MIUI znaleziono kilka groźnych błędów bezpieczeństwa

mm Michał Derej Newsy 2017-08-12

Xiaomi to jedna z najprężniej rozwijających się korporacji zajmujących się produkcją elektroniki na świecie. Z urządzeń tej firmy, która założona została ponad 7 lat temu, korzysta ponad 6% wszystkich użytkowników smartfonów na świecie, co przekłada się na dziesiątki milionów urządzeń. Telefony i tablety Xiaomi działają pod kontrolą systemu MIUI, czyli dość mocno zmodyfikowanej wersji Androida, którą zajmuje się ta firma – wydaje ona samodzielne aktualizacje z nowymi funkcjami, poprawki bezpieczeństwa i wiele więcej. Jakiś czas temu zostaliśmy poinformowani o błędach bezpieczeństwa, które od jakiegoś czasu można było znaleźć w MIUI – usterki te odkryła indyjska firma zajmująca się bezpieczeństwem w sieci, czyli eScan Antivirus. Wszystkie ujawnione informacje przedstawiam wam poniżej.

Mi Mover

Mi Mover, to ciekawa aplikacja stworzona przez Xiaomi, która pozwala na przeniesienie ustawień, aplikacji i ich danych oraz wszystkich plików (w tym zapisanych metod płatności) z jednego urządzenia tej chińskiej korporacji na drugie. Program ten ma aż tak zaawansowane możliwości, ponieważ omija zabezpieczenia Androida dotyczące aplikacji, które gwarantują to, że każda uruchomiona aplikacja odpala się w „piaskownicy”, czyli trybie odizolowanym od reszty systemu. Aby zabezpieczyć użytkownika przed skopiowaniem danych przez np. złodzieja, Mi Mover wymaga podania hasła. Okazuje się jednak, że nie zawsze – w niektórych sytuacjach, które pokazane zostały przez ekipę odpowiedzialną za eScan Antivirus, dane przenoszone były pomiędzy dwoma urządzeniami (Mi Max 2 oraz Redmi 4A) bez żadnego zabezpieczenia. Oznacza to, że operację tą mógł równie dobrze wykonać złodziej telefonu, który nie zna hasła właściciela urządzenia – dzięki zaawansowanym możliwościom aplikacji mógł on dosłownie sklonować system oraz wszystkie dane bez najmniejszego problemu.

Administratorzy urządzenia

Funkcja, której nazwę możecie znaleźć w powyższym tytule, pozwala na wyznaczenie aplikacji ze specjalnymi uprawnieniami na urządzeniu z Androidem. Program taki ma bowiem dostęp do praktycznie wszystkich opcji w systemie i może wykonywać operacje takie jak chociażby całkowite usunięcie wszystkich plików zgromadzonych na telefonie lub tablecie, lub nawet usunięcie ekranu blokady. Na szczęście przed nadaniem takich uprawnień danej aplikacji właściciel smartfona zawsze proszony jest o zweryfikowanie swojej tożsamości, np. za pomocą hasła lub kodu PIN. Niestety okazuje się, że ograniczenie to nie dotyczyło niektórych urządzeń Xiaomi – programy mogły stać się administratorami urządzenia bez konieczności podawania żadnego hasła. W konsekwencji błąd ten mógł prowadzić do przejęcia kontroli nad telefonem lub tabletem przez złośliwe oprogramowanie.

Co robić, jak żyć?

Przede wszystkim nie należy panikować – błędy te dotyczą wyłącznie niektórych wersji systemu MIUI, a wszystkie szczegóły dla bezpieczeństwa nie zostały udostępnione przez eScan Antivirus. Xiaomi zapewniło już swoich użytkowników, że pracownicy firmy robią wszystko dla ich bezpieczeństwa, więc wkrótce prawdopodobnie pojawi się łatka, która załata opisane przeze mnie błędy. Pamiętajcie również, że powyższe sposoby działają wyłącznie przy specyficznych okolicznościach.

Źródło: IndianExpress



  • thecoolkid 😎

    Ale to jest totalna bzdura. Taka luka zabezpieczeń, że można skopiować dane z telefonu jest jest odblokowany i ma się do niego fizyczny dostęp. Reality check… Na każdym tak się da. A do mi mover trzeba się jeszcze zalogować na każdym urządzeniu. Powodzenia.

  • Fox

    Jakieś to wszystko lakoniczno propagandowe… coś tam gdzieś tam jest dziurawe, nie wiadomo co, nie wiadomo który rom, nie wiadomo jakie urządzenia, nic nie wiadomo ale gównoburze się robi.
    Normalnie bym w to uwierzył ale, że ostatnio słychać jakieś spiny na linii indie-chiny, nawet było coś o zakazie sprzedawania jakiegoś chińskiego telefonu w indiach (i to chyba był xiaomi) a tu nagle wyskakuje indyjska firma zabezpieczająca i sypie swoimi teoriami, że tam podziurawione wszystko…
    Konkrety dajta konkrety….

    • Michał Derej

      Chciałbym, ale niestety nie wiemy nic więcej. Informacja ta została również potwierdzona również przez portal XDA Developers, także jest to o wiele pewniejsze źródło.

      • Maxik

        No dobrze ale konkretnych informacji brak. A póki co jest to gdybanie o niczym ..