Bezpečnost smartphonů mnohdy záleží na chování samotného uživatele. Základní pravidlo je neinstalovat aplikace z neznámých zdrojů, jelikož někdo mohl provést modifikaci, díky které lze získat přístup do zařízení nebo zneužít samotný mobil pro ilegální činnost. Málokdo by ale čekal, že software od výrobce zaručující ochranu zařízení bude obsahovat amatérskou chybu způsobující závažný bezpečnostní nedostatek. Bohužel k něčemu takovému došlo u společnosti Xiaomi.
Guard Provider nebyl tak moc bezpečný
Xiaomi implementuje do svých zařízení bezpečnostní aplikaci Guard Provider, která sama o sobě obsahuje tři SDK (Software Development Kit) – Avast, AVL a Tencent. Uživatel si následně vybere, kterého poskytovatele antiviru a ten se snaží chránit zařízení před škodlivými aplikacemi.
Bezpečnostní společnost Check Point odhalila, že je problém u dvou možností. Konkrétně jde o Avast a AVL. Problém jako takový není v softwaru těchto firem, ale spíše v řešení aktualizace virové databáze, kterou zajišťuje společnost Xiaomi.
Pro aktualizaci virových databází se používá nezabezpečené internetové spojení, respektive se stahuje balíček z webové adresy bez HTTPS, tudíž aplikace jako taková nemůže zaručit, jestli stažený soubor skutečně pochází ze serverů Xiaomi. Navíc webová adresa není jakkoliv jinak ošetřena a dá se v podstatě odhadnout do budoucna. Společnost nevyužívá nějaký sofistikovanější hash mechanismus, který by znemožnil odhadnout, jak bude vypadat adresa jako taková do budoucna.
Díky tomuto bylo možné poměrně jednoduše pomocí útoku MiTM (Man-in-the-Middle) podvrhnout stahovaný balíček a distribuovat škodlivý software. Check Point již informoval společnost Xiaomi o problému a údajně byla vytvořena aktualizace opravující tento závažný nedostatek.
Dotázali jsme se společnosti Check Point, která verze MIUI obsahuje opravu, ale nedočkali jsme odpovědi. Pokud chcete své zařízení zabezpečit, měli byste vždy udržovat své zařízení co nejaktuálnější z pohledu aktualizací softwaru.
Zdroj: Tisková zpráva