Xiaomi to jedna z najprężniej rozwijających się korporacji zajmujących się produkcją elektroniki na świecie. Z urządzeń tej firmy, która założona została ponad 7 lat temu, korzysta ponad 6% wszystkich użytkowników smartfonów na świecie, co przekłada się na dziesiątki milionów urządzeń. Telefony i tablety Xiaomi działają pod kontrolą systemu MIUI, czyli dość mocno zmodyfikowanej wersji Androida, którą zajmuje się ta firma – wydaje ona samodzielne aktualizacje z nowymi funkcjami, poprawki bezpieczeństwa i wiele więcej. Jakiś czas temu zostaliśmy poinformowani o błędach bezpieczeństwa, które od jakiegoś czasu można było znaleźć w MIUI – usterki te odkryła indyjska firma zajmująca się bezpieczeństwem w sieci, czyli eScan Antivirus. Wszystkie ujawnione informacje przedstawiam wam poniżej.
Mi Mover
Mi Mover, to ciekawa aplikacja stworzona przez Xiaomi, która pozwala na przeniesienie ustawień, aplikacji i ich danych oraz wszystkich plików (w tym zapisanych metod płatności) z jednego urządzenia tej chińskiej korporacji na drugie. Program ten ma aż tak zaawansowane możliwości, ponieważ omija zabezpieczenia Androida dotyczące aplikacji, które gwarantują to, że każda uruchomiona aplikacja odpala się w „piaskownicy”, czyli trybie odizolowanym od reszty systemu. Aby zabezpieczyć użytkownika przed skopiowaniem danych przez np. złodzieja, Mi Mover wymaga podania hasła. Okazuje się jednak, że nie zawsze – w niektórych sytuacjach, które pokazane zostały przez ekipę odpowiedzialną za eScan Antivirus, dane przenoszone były pomiędzy dwoma urządzeniami (Mi Max 2 oraz Redmi 4A) bez żadnego zabezpieczenia. Oznacza to, że operację tą mógł równie dobrze wykonać złodziej telefonu, który nie zna hasła właściciela urządzenia – dzięki zaawansowanym możliwościom aplikacji mógł on dosłownie sklonować system oraz wszystkie dane bez najmniejszego problemu.
Administratorzy urządzenia
Funkcja, której nazwę możecie znaleźć w powyższym tytule, pozwala na wyznaczenie aplikacji ze specjalnymi uprawnieniami na urządzeniu z Androidem. Program taki ma bowiem dostęp do praktycznie wszystkich opcji w systemie i może wykonywać operacje takie jak chociażby całkowite usunięcie wszystkich plików zgromadzonych na telefonie lub tablecie, lub nawet usunięcie ekranu blokady. Na szczęście przed nadaniem takich uprawnień danej aplikacji właściciel smartfona zawsze proszony jest o zweryfikowanie swojej tożsamości, np. za pomocą hasła lub kodu PIN. Niestety okazuje się, że ograniczenie to nie dotyczyło niektórych urządzeń Xiaomi – programy mogły stać się administratorami urządzenia bez konieczności podawania żadnego hasła. W konsekwencji błąd ten mógł prowadzić do przejęcia kontroli nad telefonem lub tabletem przez złośliwe oprogramowanie.
Co robić, jak żyć?
Przede wszystkim nie należy panikować – błędy te dotyczą wyłącznie niektórych wersji systemu MIUI, a wszystkie szczegóły dla bezpieczeństwa nie zostały udostępnione przez eScan Antivirus. Xiaomi zapewniło już swoich użytkowników, że pracownicy firmy robią wszystko dla ich bezpieczeństwa, więc wkrótce prawdopodobnie pojawi się łatka, która załata opisane przeze mnie błędy. Pamiętajcie również, że powyższe sposoby działają wyłącznie przy specyficznych okolicznościach.
Źródło: IndianExpress