Kelemahan keamanan utama ditemukan di miui: aplikasi keamanan pihak ketiga dapat…

Dunia Internet yang berkembang pesat dirusak oleh berbagai kerentanan keamanan yang muncul dan eScan Antivirus yang berbasis di India telah merilis laporan yang menunjukkan beberapa kelemahan keamanan yang ditemukan pada perangkat Xiaomi yang menjalankan sistem operasi MIUI.

Dengan pangsa pasar 13 persen, Xiaomi saat ini adalah salah satu merek smartphone terkemuka di India, yang merupakan pasar smartphone terbesar kedua di dunia, setelah Cina.

Penelitian oleh eScan menunjukkan beberapa kelemahan dalam OS MIUI yang mampu memperkenalkan kerentanan ke pengguna akhir serta aplikasi keamanan.

“Aplikasi sistem MIUI yang menangani penghapusan pemasangan aplikasi merupakan ancaman signifikan bagi aplikasi Keamanan. Telah diamati bahwa aplikasi ini pada saat un-install akan meminta kata sandi pada semua perangkat lain, meskipun pada MIUI, aplikasi ini tidak diinstal tanpa perlu kata sandi, ”catat para peneliti.

Cacat keamanan penting lainnya yang dicatat oleh para peneliti adalah bahwa aplikasi Mi Mover tidak memerlukan kata sandi saat mentransfer data dari satu perangkat ke perangkat lainnya.

"Dari sudut pandang keamanan, proses un-instal yang diterapkan di MIUI menimbulkan ancaman keamanan yang signifikan karena proses otentikasi yang dilaksanakan oleh aplikasi dilewati, " tambah mereka.

Masalah Keamanan Ditemukan oleh eScan

Para peneliti di eScan menemukan masalah berikut dengan sistem operasi MIUI Xiaomi.

• Aplikasi MI-Mover mengesampingkan sandbox aplikasi OS Android
• Aplikasi administrator-perangkat apa pun dapat dihapus instalasinya tanpa mencabut hak admin-perangkatnya
• Xiaomi dengan MI-Mover dapat dikloning dalam beberapa menit tanpa perlu me-rooting perangkat
• Perangkat MIUI daripada menghapus, menyembunyikan aplikasi Admin Work-Profile
• Profil ruang kerja tidak dapat dibedakan dari profil pribadi yang menghadirkan tantangan serius dari sudut pandang keamanan dalam Enterprise Mobility Management

GT Menguji Kerentanan Keamanan juga

Dari semua masalah ini, masalah yang paling mendesak dan tersebar luas adalah kerentanan menyerang aplikasi keamanan dan satu lagi yang terkait dengan Mi Mover.

Berbicara dengan GuidingTech, juru bicara Xiaomi secara konsisten menekankan fakta bahwa pin / pola / pemindai sidik jari perangkat adalah penghalang pertama dari entri yang tidak diinginkan dan untuk mengeksploitasi setiap kerentanan yang disebutkan dalam penelitian, penghalang keamanan ini harus dipatahkan.

Uji Aplikasi Keamanan

Pertama, kami menguji kerentanan keamanan yang menyatakan bahwa aplikasi apa pun yang memiliki izin administrator perangkat dapat dihapus tanpa mencabut hak-hak tersebut.

Per se, kami memasang aplikasi Cerberus Anti-theft pada perangkat Xiaomi Mi Max 2 kami dan perangkat non-Xiaomi (untuk bertindak sebagai kontrol). Saat menghapus aplikasi Cerebrus pada perangkat OnePlus 5 dan Samsung Galaxy J7 Max (keduanya berjalan pada Android 7), telepon meminta kata sandi sistem dan kata sandi aplikasi Cerberus.

Tetapi ketika kami mencoba mencopot pemasangan Cerberus dari perangkat Mi Max 2, aplikasi hanya dihapus instalasinya tanpa meminta input tambahan - baca kata sandi.

Baca Juga: 5 Upaya adalah Semua yang Diperlukan untuk Memecahkan Kunci Pola Android Anda

Tes Penggerak Mi

Dalam pernyataan mereka kepada GuidingTech, juru bicara Xiaomi menyebutkan bahwa kata sandi diperlukan untuk menggunakan Mi Mover pada perangkat.

Jadi kami menemukan dua perangkat Xiaomi - Mi Max 2 dan Redmi 4A -, pasang sidik jari dan kunci pola pada mereka dan periksa fitur Mi Mover. Yang mengejutkan kami (atau tidak!) Aplikasi Mi Mover tidak meminta kata sandi apa pun.

Ia hanya bertanya kepada kami siapa yang akan mengirim data, siapa yang akan menerimanya, dan apa semua data sistem atau aplikasi harus dikirim. Dan Voila! Transfer data dimulai tanpa perlu input kata sandi baik sebelum atau setelah aplikasi Mi Mover selesai mentransfer data.

Kerentanan ini juga sangat penting karena siapa pun yang mendapatkan akses ke perangkat Xiaomi yang tidak dikunci dapat dengan mudah mengkloning semua konten perangkat, termasuk data sistem dan aplikasi dalam sekejap.

Xiaomi telah memfokuskan pada kenyataan bahwa lapisan keamanan pertama mengunci telepon tetapi bahkan pada telepon yang tidak terkunci, ada pedoman Android lain yang perlu diberlakukan untuk menghindari kerusakan lebih lanjut - seperti 2FA dan kata sandi khusus aplikasi.

Apa yang dikatakan Xiaomi

Inilah pernyataan lengkap Xiaomi:

Escan sebelumnya hari ini berbagi laporan yang berisi daftar beberapa kekhawatiran di MIUI. Kami sangat tidak setuju dengan tuduhan yang dibuat oleh Escan dalam laporan mereka. Sebagai perusahaan Internet global, Xiaomi mengambil semua langkah yang memungkinkan untuk memastikan perangkat dan layanan kami mematuhi kebijakan privasi kami.

Setiap pelaku yang memperoleh akses fisik ke telepon yang tidak terkunci dapat melakukan aktivitas jahat dan telepon yang tidak terkunci sangat berisiko kehilangan data pengguna.

Inilah sebabnya, kami di Xiaomi mendorong pengguna kami untuk lebih waspada dalam menjaga data pribadi mereka menggunakan PIN, Pola kunci, atau sensor sidik jari terpasang yang tersedia di sebagian besar ponsel cerdas kami. Faktanya, mendorong pengguna untuk mengaktifkan kunci sidik jari adalah langkah standar saat mengatur smartphone Xiaomi untuk penggunaan pertama.

Mi Mover dirancang untuk menjadi alat yang nyaman bagi pengguna kami untuk memindahkan data mereka dari smartphone lama ke ponsel baru. Agar Penggerak Mi dapat memulai proses ini, kata sandi diperlukan.

Lebih penting lagi, untuk menggunakan Mi Mover, smartphone harus dibuka kuncinya.

Dengan demikian, ada dua lapisan perlindungan bagi pengguna - kunci telepon dan kata sandi Mi Mover yang diperlukan.