![A Xiaomi-eszközök millióinak biztonsági hibája volt - Hírek A Xiaomi-eszközök millióinak biztonsági hibája volt - Hírek](https://a.23rdpta.org/news/millions-of-xiaomi-devices-had-security-flaw-1.jpg)
Annak ellenére, hogy a Xiaomi biztonsági alkalmazásának célja az eszközök és felhasználói adatok védelme, a Check Point biztonsági cég kutatói ma korábban közzétették, hogy az alkalmazás az ellenkezőjét tette meg.
Az úgynevezett Gárda szolgáltató, az alkalmazás az Avast, az AVL és a Tencent víruskeresõinek felhasználásával fedezi fel a lehetséges rosszindulatú programokat. Mivel az Android rosszindulatú programok különféle módszereket találnak a készülékre való bejutáshoz, nem meglepő, ha megtudja, hogy a Xiaomi minden telefonjára előre telepíti a Guard Provider szolgáltatást.
A Check Point kutatói ugyanakkor feltűnő biztonsági hibát találtak az alkalmazásban - annak frissítési mechanizmusában.
A Check Point kutatója, Slava Makkaveev szerint a Gárdaszolgáltató nem biztonságos HTTP kapcsolaton keresztül kap frissítéseket. Ez azt jelenti, hogy a rossz szereplők visszaélhetnek az Avast Update APK-val és beilleszthetnek rosszindulatú programokat egy közép-ember (MITM) támadás útján, mindaddig, amíg ugyanabban a Wi-Fi hálózatban vannak, mint a potenciális áldozatok.
Az MITM támadás egy példája az aktív hallgatás, amelynek során a támadó független kapcsolatot létesít az áldozattal. Az áldozat úgy véli, hogy törvényes harmadik féllel közvetítik az embereket, azzal a valósággal, hogy a támadó elfogja őket, és újakat dob be.
A rosszindulatú programok mellett Makkavejev azt mondta, hogy a támadók MITM támadásokat is használhatnak ransomware injektálására vagy alkalmazások nyomon követésére. A támadók megtanulhatják a frissítés fájlnevét is annak érdekében, hogy szoftverük a lehető legkárosabbnak tűnjön.
Mivel a Guard Szolgáltatót előre telepítették a Xiaomi telefonokra, több millió készülék azonos biztonsági hibával rendelkezik. A jó hír az, hogy a Xiaomi tisztában van a problémával, és együtt dolgozott az Avast-nal annak kijavításához.
felvette a kapcsolatot a Xiaomi-val kommentálásra, de a sajtóidőre nem kapott választ.