Androide

Gran falla de seguridad encontrada en miui: las aplicaciones de seguridad de terceros pueden ser ...

Los principales trucos de Google Drive que deberías saber

Los principales trucos de Google Drive que deberías saber

Tabla de contenido:

Anonim

El rápido crecimiento del mundo de Internet se ve empañado por numerosas vulnerabilidades de seguridad que surgen y eScan Antivirus, con sede en India, ha publicado un informe que sugiere múltiples fallas de seguridad encontradas en dispositivos Xiaomi que ejecutan el sistema operativo MIUI.

Con una cuota de mercado del 13 por ciento, Xiaomi es actualmente una de las principales marcas de teléfonos inteligentes en India, que es el segundo mercado de teléfonos inteligentes más grande del mundo, justo después de China.

La investigación realizada por eScan señala múltiples fallas en el sistema operativo MIUI que es capaz de introducir vulnerabilidades en las aplicaciones de seguridad y del usuario final.

“La aplicación del sistema MIUI que maneja la desinstalación de las aplicaciones representa una amenaza significativa para las aplicaciones de seguridad. Se ha observado que estas aplicaciones en el momento de la desinstalación pedirían una contraseña en todos los demás dispositivos, aunque en MIUI, estas aplicaciones se desinstalan sin la necesidad de una contraseña ", anotaron los investigadores.

Otra falla de seguridad importante notada por los investigadores fue que la aplicación Mi Mover no requiere una contraseña cuando se transfieren datos de un dispositivo a otro.

"Desde el punto de vista de la seguridad, el proceso de desinstalación implementado en MIUI plantea una amenaza de seguridad importante ya que se omite el proceso de autenticación implementado por la aplicación", agregaron.

Problemas de seguridad encontrados por eScan

Los investigadores de eScan encontraron los siguientes problemas con el sistema operativo MIUI de Xiaomi.

  • La aplicación MI-Mover anula el entorno limitado de aplicaciones del sistema operativo Android
  • Cualquier aplicación de administrador de dispositivo se puede desinstalar sin revocar sus derechos de administrador de dispositivo
  • Xiaomi con MI-Mover se puede clonar en pocos minutos sin necesidad de rootear el dispositivo
  • Los dispositivos MIUI, en lugar de eliminar, ocultan la aplicación Work-Profile Admin
  • Los perfiles del espacio de trabajo no pueden diferenciarse del perfil personal, lo que representa un serio desafío desde el punto de vista de la seguridad en la Gestión de movilidad empresarial

GT también probó la vulnerabilidad de seguridad

De todos estos problemas, los problemas más acuciantes y generalizados son las vulnerabilidades que atacan las aplicaciones de seguridad y otra relacionada con Mi Mover.

Hablando con GuidingTech, el portavoz de Xiaomi insistió constantemente en el hecho de que el escáner de pin / patrón / huella digital del dispositivo es la primera barrera de entrada no deseada y para explotar cualquiera de las vulnerabilidades mencionadas en la investigación, esta barrera de seguridad tiene que romperse.

Prueba de aplicación de seguridad

Primero, probamos la vulnerabilidad de seguridad que establece que cualquier aplicación que tenga permiso de administrador del dispositivo puede eliminarse sin revocar esos derechos.

En sí, instalamos la aplicación antirrobo Cerberus en nuestro dispositivo Xiaomi Mi Max 2 y en dispositivos que no son Xiaomi (para que actúen como control). Al desinstalar la aplicación Cerebrus en el dispositivo OnePlus 5 y Samsung Galaxy J7 Max (ambos con Android 7), el teléfono solicita la contraseña del sistema y la contraseña de la aplicación Cerberus.

Pero cuando intentamos desinstalar Cerberus del dispositivo Mi Max 2, la aplicación simplemente se desinstaló sin solicitar ninguna entrada adicional: leer la contraseña.

Lea también: 5 intentos es todo lo que se necesita para descifrar su bloqueo de patrón de Android

Mi Mover Test

En su declaración a GuidingTech, el portavoz de Xiaomi mencionó que se requiere una contraseña para usar Mi Mover en el dispositivo.

Así que encontramos dos dispositivos Xiaomi, Mi Max 2 y Redmi 4A, les pusimos huellas digitales y bloqueos de patrones y verificamos la función Mi Mover. Para nuestra sorpresa (¡o no!), La aplicación Mi Mover no solicitó ninguna contraseña.

Simplemente nos preguntó quién enviará los datos, quién los recibirá y qué datos del sistema o de la aplicación deben enviarse. ¡Y voilá! La transferencia de datos comenzó sin la necesidad de ingresar ninguna contraseña antes o después de que la aplicación Mi Mover completara la transferencia de datos.

Esta vulnerabilidad también es crítica, ya que cualquiera que obtenga acceso a su dispositivo Xiaomi desbloqueado puede clonar fácilmente todos los contenidos del dispositivo, incluidos los datos del sistema y de la aplicación en un santiamén.

Xiaomi se ha centrado en el hecho de que la primera capa de seguridad está bloqueando el teléfono, pero incluso en un teléfono desbloqueado, hay otras pautas de Android que deben implementarse para evitar daños adicionales, como 2FA y contraseñas específicas de aplicaciones.

Lo que dice Xiaomi

Aquí está la declaración completa de Xiaomi:

Escan hoy compartió un informe que enumera pocas preocupaciones en MIUI. Estamos totalmente en desacuerdo con las acusaciones hechas por Escan en su informe. Como compañía global de Internet, Xiaomi toma todas las medidas posibles para garantizar que nuestros dispositivos y servicios cumplan con nuestra política de privacidad.

Cualquier perpetrador que obtenga acceso físico a un teléfono desbloqueado es capaz de realizar actividades maliciosas y un teléfono desbloqueado está en gran riesgo de que se roben los datos del usuario.

Es por eso que, en Xiaomi, alentamos a nuestros usuarios a ser más conscientes de proteger sus datos privados mediante PIN, bloqueos de patrón o el sensor de huellas dactilares incorporado disponible en la mayoría de nuestros teléfonos inteligentes. De hecho, solicitar a los usuarios que habiliten el bloqueo de huellas digitales es un paso estándar al configurar un teléfono inteligente Xiaomi para el primer uso.

Mi Mover está diseñado para ser una herramienta conveniente para que nuestros usuarios muevan sus datos de un teléfono inteligente antiguo a un teléfono nuevo. Para que Mi Mover inicie este proceso, se requiere una contraseña.

Más importante aún, para usar Mi Mover, el teléfono inteligente debe estar desbloqueado.

Por lo tanto, hay dos capas de protección para el usuario: bloqueo del teléfono y una contraseña de Mi Mover que son necesarias.