Schwerwiegende Sicherheitslücke in miui: Sicherheits-Apps von Drittanbietern können ...

Die schnell wachsende Welt des Internets wird durch zahlreiche Sicherheitslücken beeinträchtigt. Das indische Unternehmen eScan Antivirus hat einen Bericht veröffentlicht, in dem mehrere Sicherheitslücken auf Xiaomi-Geräten mit MIUI-Betriebssystem vorgeschlagen werden.

Mit einem Marktanteil von 13 Prozent ist Xiaomi derzeit eine der führenden Smartphone-Marken in Indien, dem zweitgrößten Smartphone-Markt der Welt, gleich nach China.

Die Untersuchung von eScan zeigt mehrere Schwachstellen im MIUI-Betriebssystem auf, durch die Schwachstellen sowohl in Endbenutzer- als auch in Sicherheitsanwendungen eingeführt werden können.

„Die System-App von MIUI, die die Deinstallation der Apps übernimmt, stellt eine erhebliche Bedrohung für Sicherheits-Apps dar. Es wurde beobachtet, dass diese Apps zum Zeitpunkt der Deinstallation ein Kennwort für alle anderen Geräte anfordern würden, obwohl diese Apps auf MIUI deinstalliert werden, ohne dass ein Kennwort erforderlich ist “, stellten die Forscher fest.

Eine weitere wichtige Sicherheitslücke stellten die Forscher fest, dass für die Mi Mover-App kein Kennwort erforderlich ist, wenn Daten von einem Gerät auf das andere übertragen werden.

"Aus Sicherheitsgründen stellt der in MIUI implementierte Deinstallationsprozess eine erhebliche Sicherheitsbedrohung dar, da der von der App implementierte Authentifizierungsprozess umgangen wird", fügten sie hinzu.

Von eScan gefundene Sicherheitsprobleme

Forscher von eScan haben die folgenden Probleme mit dem MIUI-Betriebssystem von Xiaomi festgestellt.

• Die MI-Mover-App überschreibt die Anwendungs-Sandbox des Android-Betriebssystems
• Jede Geräteadministrator-App kann deinstalliert werden, ohne die Geräteadministrator-Rechte zu widerrufen
• Xiaomi mit MI-Mover kann in wenigen Minuten geklont werden, ohne das Gerät rooten zu müssen
• Anstatt MIUI-Geräte zu löschen, wird die Work-Profile Admin-App ausgeblendet
• Workspace-Profile können nicht vom persönlichen Profil unterschieden werden, was aus Sicherheitsgründen im Enterprise Mobility Management eine ernsthafte Herausforderung darstellt

GT hat auch die Sicherheitslücke getestet

Von all diesen Problemen sind die Sicherheitslücken, die Sicherheitsanwendungen angreifen, und ein weiteres, das sich auf Mi Mover bezieht, das dringlichste und am weitesten verbreitete Problem.

Im Gespräch mit GuidingTech betonte der Sprecher von Xiaomi konsequent, dass der Pin- / Muster- / Fingerabdruck-Scanner des Geräts die erste Barriere für unerwünschte Zugriffe darstellt. Um eine der in der Studie genannten Schwachstellen auszunutzen, muss diese Sicherheitsbarriere durchbrochen werden.

Sicherheits-App-Test

Zuerst haben wir die Sicherheitslücke getestet, die besagt, dass jede App mit Geräteadministrator-Berechtigung gelöscht werden kann, ohne diese Rechte zu widerrufen.

Per se haben wir die Cerberus Anti-Theft-App auf unserem Xiaomi Mi Max 2-Gerät und auf Geräten anderer Hersteller (als Steuerelement) installiert. Bei der Deinstallation der Cerebrus-App auf dem OnePlus 5-Gerät und dem Samsung Galaxy J7 Max-Gerät (beide auf Android 7) werden Sie nach dem Systemkennwort und dem Cerberus-App-Kennwort gefragt.

Als wir jedoch versuchten, Cerberus vom Mi Max 2-Gerät zu deinstallieren, wurde die App einfach deinstalliert, ohne dass zusätzliche Eingaben erforderlich waren - lesen Sie das Kennwort.

Lesen Sie auch: 5 Versuche genügen, um Ihre Android Pattern Lock zu knacken

Mi Mover Test

In ihrer Erklärung gegenüber GuidingTech erwähnte der Sprecher von Xiaomi, dass ein Passwort erforderlich ist, um Mi Mover auf dem Gerät zu verwenden.

Also haben wir zwei Xiaomi-Geräte gefunden - Mi Max 2 und Redmi 4A -, sie mit Fingerabdruck- und Mustersperren versehen und die Mi Mover-Funktion überprüft. Zu unserer Überraschung (oder auch nicht!) Hat die Mi Mover App kein Passwort abgefragt.

Es wurde nur gefragt, wer die Daten senden soll, wer sie empfangen soll und welche System- oder App-Daten gesendet werden müssen. Und Voila! Die Datenübertragung wurde gestartet, ohne dass ein Kennwort eingegeben werden musste, bevor oder nachdem die Mi Mover-App die Datenübertragung abgeschlossen hatte.

Diese Sicherheitsanfälligkeit ist ebenfalls kritisch, da jeder, der Zugriff auf Ihr entsperrtes Xiaomi-Gerät erhält, den gesamten Inhalt des Geräts, einschließlich der System- und App-Daten, im Handumdrehen klonen kann.

Xiaomi hat sich auf die Tatsache konzentriert, dass die erste Sicherheitsebene das Telefon sperrt, aber selbst bei einem entsperrten Telefon müssen andere Android-Richtlinien festgelegt werden, um weiteren Schaden zu vermeiden - wie z. B. 2FA und app-spezifische Passwörter.

Was Xiaomi sagt

Hier ist die vollständige Aussage von Xiaomi:

Escan hat heute einen Bericht veröffentlicht, in dem nur wenige Bedenken in Bezug auf MIUI aufgeführt sind. Wir stimmen den Behauptungen von Escan in ihrem Bericht überhaupt nicht zu. Als globales Internetunternehmen unternimmt Xiaomi alle möglichen Schritte, um sicherzustellen, dass unsere Geräte und Dienste unseren Datenschutzrichtlinien entsprechen.

Jeder Täter, der physischen Zugang zu einem entsperrten Telefon erlangt, kann böswillige Handlungen ausführen, und bei einem entsperrten Telefon besteht ein hohes Risiko, dass Benutzerdaten gestohlen werden.

Aus diesem Grund ermutigen wir unsere Benutzer bei Xiaomi, ihre privaten Daten mit PIN, Mustersperren oder dem integrierten Fingerabdrucksensor, der auf den meisten unserer Smartphones verfügbar ist, besser zu schützen. Das Auffordern der Benutzer, die Fingerabdrucksperre zu aktivieren, ist ein Standardschritt beim Einrichten eines Xiaomi-Smartphones für die erste Verwendung.

Mi Mover ist ein praktisches Tool, mit dem unsere Benutzer ihre Daten von einem alten Smartphone auf ein neues Handy übertragen können. Damit Mi Mover diesen Vorgang einleiten kann, ist ein Kennwort erforderlich.

Noch wichtiger ist, dass das Smartphone entsperrt sein muss, um Mi Mover nutzen zu können.

Daher gibt es zwei Schutzstufen für den Benutzer - die Telefonsperre und ein Mi Mover-Kennwort, die erforderlich sind.