Android

Σημαντικό ελάττωμα ασφαλείας που εντοπίστηκε στο miui: εφαρμογές ασφαλείας τρίτου μέρους μπορούν να ...

Policies & Publishing on Google Play

Policies & Publishing on Google Play

Πίνακας περιεχομένων:

Anonim

Ο ταχέως αναπτυσσόμενος κόσμος του Διαδικτύου υπονομεύεται από τις πολλές ευπάθειες ασφαλείας που προκύπτουν και το Ινστιτούτο eScan Antivirus κυκλοφόρησε μια αναφορά που υποδηλώνει πολλαπλές ατέλειες ασφάλειας που εντοπίστηκαν στις συσκευές Xiaomi με λειτουργικό σύστημα MIUI.

Με ένα μερίδιο αγοράς 13%, η Xiaomi είναι σήμερα μία από τις κορυφαίες μάρκες smartphone στην Ινδία, η οποία είναι η δεύτερη μεγαλύτερη αγορά smartphone στον κόσμο, λίγο μετά την Κίνα.

Η έρευνα από το eScan επισημαίνει πολλαπλές ατέλειες στο λειτουργικό σύστημα MIUI, το οποίο είναι ικανό να εισαγάγει ευπάθειες σε εφαρμογές τελικού χρήστη καθώς και σε εφαρμογές ασφαλείας.

"Η εφαρμογή συστήματος του MIUI που χειρίζεται την αποεγκατάσταση των εφαρμογών αποτελεί σημαντική απειλή για τις εφαρμογές ασφαλείας. Έχει παρατηρηθεί ότι αυτές οι εφαρμογές κατά τη στιγμή της απεγκατάστασης θα ζητούσαν έναν κωδικό πρόσβασης σε όλες τις άλλες συσκευές, αν και στο MIUI, οι εφαρμογές αυτές δεν έχουν εγκατασταθεί χωρίς την ανάγκη κωδικού πρόσβασης ", σημειώνουν οι ερευνητές.

Ένα άλλο σημαντικό ελάττωμα ασφαλείας που επισημάνθηκε από τους ερευνητές ήταν ότι η εφαρμογή Mi Mover δεν απαιτεί κωδικό πρόσβασης κατά τη μεταφορά δεδομένων από τη μια συσκευή στην άλλη.

"Από την άποψη της ασφάλειας, η διαδικασία αποεγκατάστασης που εφαρμόζεται στο MIUI αποτελεί σημαντική απειλή για την ασφάλεια, καθώς η διαδικασία επαλήθευσης που εφαρμόζει η εφαρμογή παρακάμπτεται", πρόσθεσαν.

Θέματα ασφαλείας που βρέθηκαν από το eScan

Οι ερευνητές στο eScan βρήκαν τα ακόλουθα προβλήματα με το λειτουργικό σύστημα MIUI της Xiaomi.

  • Το πρόγραμμα MI-Mover υπερισχύει του sandbox εφαρμογής του λειτουργικού συστήματος Android
  • Οποιαδήποτε εφαρμογή διαχειριστή συσκευής μπορεί να απεγκατασταθεί χωρίς να ανακαλέσει τα δικαιώματα διαχειριστή της συσκευής
  • Το Xiaomi με MI-Mover μπορεί να κλωνοποιηθεί σε λίγα λεπτά χωρίς να χρειάζεται να εκριζώσει τη συσκευή
  • Οι συσκευές MIUI αντί να διαγράφουν, αποκρύπτει την εφαρμογή "Εργαζόμενος προφίλ διαχειριστή"
  • Τα προφίλ του χώρου εργασίας δεν μπορούν να διαφοροποιηθούν από το προσωπικό προφίλ που αποτελεί σοβαρή πρόκληση από την άποψη της ασφάλειας στη Διαχείριση Επιχειρησιακής Κινητικότητας

Το GT εξέτασε επίσης την ευπάθεια ασφαλείας

Από όλα αυτά τα ζητήματα, τα πιό πιεστικά και ευρέως διαδεδομένα ζητήματα είναι τα τρωτά σημεία που επιτίθενται στις εφαρμογές ασφαλείας και άλλα σχετικά με το Mi Mover.

Μιλώντας με τον GuidingTech, ο εκπρόσωπος της Xiaomi τόνισε με έμφαση ότι ο σαρωτής PIN / πρότυπο / δακτυλικών αποτυπωμάτων της συσκευής είναι ο πρώτος φραγμός ανεπιθύμητης εισόδου και για την εκμετάλλευση οποιουδήποτε από τα τρωτά σημεία που αναφέρονται στην έρευνα, ο φραγμός ασφαλείας πρέπει να σπάσει.

Δοκιμή εφαρμογών ασφαλείας

Καταρχήν, εξετάσαμε την ευπάθεια ασφαλείας, η οποία δηλώνει ότι οποιαδήποτε εφαρμογή με δικαιώματα διαχειριστή συσκευής μπορεί να διαγραφεί χωρίς να ανακαλέσει αυτά τα δικαιώματα.

Κατά διαστήματα, εγκαταστήσαμε την εφαρμογή Cerberus Anti-theft στη συσκευή μας Xiaomi Mi Max 2 και σε συσκευές που δεν είναι Xiaomi (για να λειτουργήσουμε ως έλεγχος). Κατά την απεγκατάσταση της εφαρμογής Cerebrus στις συσκευές OnePlus 5 και Samsung Galaxy J7 Max (και οι δύο εκτελούνται σε Android 7), το τηλέφωνο ζητά τον κωδικό πρόσβασης του συστήματος καθώς και τον κωδικό πρόσβασης της εφαρμογής Cerberus.

Αλλά όταν προσπαθήσαμε να απεγκαταστήσουμε τον Cerberus από τη συσκευή Mi Max 2, η εφαρμογή απλά αποκαταστάθηκε χωρίς να ζητήσει πρόσθετες εισόδους - διαβάσετε τον κωδικό πρόσβασης.

Επίσης, διαβάστε: 5 προσπάθειες είναι το μόνο που παίρνει να Crack σας Android Pattern Lock

Mi Mover Test

Στη δήλωσή τους προς την GuidingTech, ο εκπρόσωπος της Xiaomi ανέφερε ότι απαιτείται κωδικός πρόσβασης για τη χρήση του Mi Mover στη συσκευή.

Γι 'αυτό βρήκαμε δύο συσκευές Xiaomi - Mi Max 2 και Redmi 4A -, βάζαμε τα δακτυλικά αποτυπώματα και τις κλειδαριές μοτίβων πάνω τους και ελέγχαμε το χαρακτηριστικό Mi Mover. Προς έκπληξή μας (ή όχι!) Η εφαρμογή Mi Mover δεν ζήτησε κανέναν κωδικό πρόσβασης.

Απλώς μας ρώτησε ποιος πρόκειται να στείλει τα δεδομένα, ποιος θα την λάβει και τι πρέπει να αποστείλουν όλα τα δεδομένα του συστήματος ή των εφαρμογών. Και Voila! Η μεταφορά δεδομένων ξεκίνησε χωρίς την ανάγκη εισαγωγής κωδικού πρόσβασης πριν ή μετά την ολοκλήρωση της μεταφοράς των δεδομένων από την εφαρμογή Mi Mover.

Αυτό το θέμα ευπάθειας είναι επίσης πολύ σημαντικό, καθώς οποιοσδήποτε αποκτά πρόσβαση στη ξεκλειδωμένη συσκευή Xiaomi, μπορεί εύκολα να κλωνοποιήσει όλο το περιεχόμενο της συσκευής, συμπεριλαμβανομένων των δεδομένων του συστήματος και των εφαρμογών σε ένα γρήγορο χρονικό διάστημα.

Η Xiaomi έχει επικεντρωθεί στο γεγονός ότι το πρώτο στρώμα ασφαλείας είναι το κλείδωμα του τηλεφώνου, αλλά ακόμη και σε ένα ξεκλειδωμένο τηλέφωνο, υπάρχουν και άλλες οδηγίες Android που πρέπει να τεθούν σε εφαρμογή για να αποφευχθούν περαιτέρω βλάβες - όπως οι κωδικοί πρόσβασης για το 2FA και την εφαρμογή.

Τι λέει η Xiaomi

Εδώ είναι η πλήρης δήλωση του Xiaomi:

Το Escan νωρίτερα σήμερα μοιράστηκε μια έκθεση η οποία αναφέρει ελάχιστες ανησυχίες στο MIUI. Διαφωνούμε έντονα με τους ισχυρισμούς του Escan στην έκθεσή τους. Ως παγκόσμια εταιρεία Διαδικτύου, η Xiaomi λαμβάνει όλα τα δυνατά μέτρα για να διασφαλίσει ότι οι συσκευές και οι υπηρεσίες μας συμμορφώνονται με την πολιτική απορρήτου μας.

Οποιοσδήποτε δράστης αποκτά φυσική πρόσβαση σε ένα ξεκλειδωμένο τηλέφωνο είναι ικανή για κακόβουλη δραστηριότητα και ένα ξεκλειδωμένο τηλέφωνο διατρέχει μεγάλο κίνδυνο να κλαπεί τα δεδομένα του χρήστη.

Αυτός είναι ο λόγος για τον οποίο οι πελάτες της Xiaomi ενθαρρύνουν τους χρήστες μας να γνωρίζουν καλύτερα τη φύλαξη των προσωπικών τους δεδομένων χρησιμοποιώντας το PIN, τις κλειδαριές Pattern ή τον αισθητήρα δακτυλικών αποτυπωμάτων που είναι διαθέσιμος στα περισσότερα smartphones μας. Στην πραγματικότητα, η προτροπή των χρηστών να ενεργοποιήσουν το κλείδωμα δακτυλικών αποτυπωμάτων είναι ένα τυπικό βήμα κατά τη ρύθμιση ενός smartphone Xiaomi για πρώτη χρήση.

Το Mi Mover σχεδιάστηκε για να είναι ένα βολικό εργαλείο για τους χρήστες μας να μετακινούν τα δεδομένα τους από ένα παλιό smartphone σε ένα νέο τηλέφωνο. Προκειμένου ο Mi Mover να ξεκινήσει αυτή τη διαδικασία, απαιτείται κωδικός πρόσβασης.

Το πιο σημαντικό, για να χρησιμοποιήσετε το Mi Mover, το smartphone πρέπει να ξεκλειδωθεί.

Επομένως, υπάρχουν δύο επίπεδα προστασίας για την κλειδαριά του χρήστη - τηλεφώνου και έναν κωδικό πρόσβασης Mi Mover που είναι απαραίτητο.

Η προσπάθεια ενοποίησης επικεντρώνεται σε ένα εντελώς Smartphone AT & T, ξεχωριστό από το iPhone και άλλα προϊόντα που μπορούν να χρησιμοποιήσουν το δίκτυο της AT & T, δήλωσε ο Smith σε συνέντευξή του μετά την ομιλία του. Το iPhone είναι στην πραγματικότητα μια συσκευή τρίτου μέρους που εκμεταλλεύεται τις υπηρεσίες AT & T, όπως φωνή, φωνητικό ταχυδρομείο και SMS (Short Message Service), ανέφερε.

Η προσπάθεια ενοποίησης επικεντρώνεται σε ένα εντελώς Smartphone AT & T, ξεχωριστό από το iPhone και άλλα προϊόντα που μπορούν να χρησιμοποιήσουν το δίκτυο της AT & T, δήλωσε ο Smith σε συνέντευξή του μετά την ομιλία του. Το iPhone είναι στην πραγματικότητα μια συσκευή τρίτου μέρους που εκμεταλλεύεται τις υπηρεσίες AT & T, όπως φωνή, φωνητικό ταχυδρομείο και SMS (Short Message Service), ανέφερε.

[Περισσότερες πληροφορίες: Τα καλύτερα τηλέφωνα Android για κάθε προϋπολογισμό. ]

Οι φορητές συσκευές που χρησιμοποιούν Moblin 2.0 θα μπορούν να έχουν πρόσβαση στο Android Market της Google, καθιστώντας έτσι το λειτουργικό σύστημα της Intel ελκυστικό όσο το Android για τους μεταφορείς που πληρώνουν για να φιλοξενήσουν λήψεις εφαρμογών στα δίκτυά τους. για το iPhone της Apple, το Android Market προσφέρει δωρεάν και πληρωμένες εφαρμογές που μπορούν να μεταφορτωθούν σε συσκευές που βασίζονται στο λειτουργικό σύστημα Android της Google.

Οι φορητές συσκευές που χρησιμοποιούν Moblin 2.0 θα μπορούν να έχουν πρόσβαση στο Android Market της Google, καθιστώντας έτσι το λειτουργικό σύστημα της Intel ελκυστικό όσο το Android για τους μεταφορείς που πληρώνουν για να φιλοξενήσουν λήψεις εφαρμογών στα δίκτυά τους. για το iPhone της Apple, το Android Market προσφέρει δωρεάν και πληρωμένες εφαρμογές που μπορούν να μεταφορτωθούν σε συσκευές που βασίζονται στο λειτουργικό σύστημα Android της Google.

Η βιομηχανία κινητών τηλεφώνων ευνοεί σήμερα το Android μέσω της Moblin, ενώ το αντίθετο ισχύει για τις netbook και τις nettop βιομηχανίες, Ο Zemlin, εκτελεστικός διευθυντής του Linux Foundation, δήλωσε σε ένα φόρουμ Linux κατά τη διάρκεια της έκθεσης Computex Taipei.

Ενώ ακόμη $ 1042 φαίνεται λίγο περισσότερο σε σύγκριση με τους φορητούς υπολογιστές με παρόμοια εξοπλισμό, το Latitude Το E5510 προσφέρει μια σειρά από προνόμια χρήσιμα σε ένα επιχειρηματικό περιβάλλον. Οι πελάτες που αγοράζουν $ 25 ή περισσότερα σε πρόσθετα μπορούν να έχουν προσαρμοσμένες μονάδες με συγκεκριμένες επιχειρηματικές εφαρμογές - μπορούν να προεγκατασταθούν και εσωτερικές εφαρμογές (ή εικόνες που παρέχονται). Κάθε Latitude είναι χτισμένο σε μια κοινή βάση αξεσουάρ, ώστε να μπορούν να

Ενώ ακόμη $ 1042 φαίνεται λίγο περισσότερο σε σύγκριση με τους φορητούς υπολογιστές με παρόμοια εξοπλισμό, το Latitude Το E5510 προσφέρει μια σειρά από προνόμια χρήσιμα σε ένα επιχειρηματικό περιβάλλον. Οι πελάτες που αγοράζουν $ 25 ή περισσότερα σε πρόσθετα μπορούν να έχουν προσαρμοσμένες μονάδες με συγκεκριμένες επιχειρηματικές εφαρμογές - μπορούν να προεγκατασταθούν και εσωτερικές εφαρμογές (ή εικόνες που παρέχονται). Κάθε Latitude είναι χτισμένο σε μια κοινή βάση αξεσουάρ, ώστε να μπορούν να

Το μοντέλο που δοκιμάσαμε είχε αναβαθμισμένη οθόνη - ματ οθόνη LCD (που προτιμώ να γυαλιστερές οθόνες) με εγγενή ανάλυση 1600-by-900 pixels. Τα χρώματα ήταν τραγανά, αν και ελαφρώς σιωπηρά, και οι συνήθεις εφαρμογές για επιχειρήσεις φαίνονταν απότομες. Παρόλο που μπορείτε να εκτελέσετε παιχνίδια στο Latitude, η απόδοση του ολοκληρωμένου τσιπ γραφικών της Intel εξακολουθεί να είναι αναιμική. Το τσιπ εδώ τρέχει καλύτερα από τα προηγούμενα γραφικά της Intel, αλλά παραμένει πολύ περιορισμένο για του