ä¸è¦å²ç¬æåçæ§
目次:
急速に拡大しているインターネットの世界は、多数のセキュリティ脆弱性が発生しています。インドのeScan Antivirusは、MIUIオペレーティングシステムを実行しているXiaomiデバイスに複数のセキュリティ欠陥があることを示唆するレポートを発表しました。
Xiaomiは現在13%の市場シェアを誇り、中国に次いで世界第2位のスマートフォン市場であるインドでも有数のスマートフォンブランドの1つです。
eScanによる調査では、セキュリティアプリだけでなくエンドユーザーにも脆弱性を導入する可能性があるMIUI OSの複数の欠陥が指摘されています。
アプリのアンインストールを処理するMIUIのシステムアプリは、セキュリティアプリにとって大きな脅威となります。 MIUIでは、これらのアプリはパスワードを必要とせずにアンインストールされますが、アンインストール時にこれらのアプリは他のすべてのデバイスでパスワードを要求することが確認されています。
研究者らが指摘したもう1つの重要なセキュリティ上の欠陥は、Mi Moverアプリがあるデバイスから別のデバイスにデータを転送するときにパスワードを必要としないということでした。
「セキュリティの観点から、MIUIで実装されているアンインストールのプロセスは、アプリで実装されている認証プロセスがバイパスされるため、重大なセキュリティ上の脅威となります」と、彼らは付け加えました。
eScanで見つかったセキュリティ問題
eScanの研究者は、XiaomiのMIUIオペレーティングシステムに関して次の問題を発見しました。
- MI-MoverアプリはAndroid OSのアプリケーションサンドボックスをオーバーライドします
- どのデバイス管理者アプリも、そのデバイス管理者権限を取り消さずにアンインストールできます。
- MI-Moverを搭載したXiaomiは、デバイスを起動することなく数分でクローン作成できます。
- MIUIデバイスを削除するのではなく、Work-Profile Adminアプリを隠します
- ワークスペースプロファイルと個人プロファイルを区別することはできず、Enterprise Mobility Managementのセキュリティの観点から深刻な課題となります。
GTもセキュリティの脆弱性をテストしました
これらの問題すべての中で、最も差し迫っていて広く行き渡っている問題はセキュリティアプリを攻撃する脆弱性とMi Moverに関連したものです。
GuidingTechに話して、Xiaomiのスポークスマンは、デバイスのピン/パターン/指紋スキャナーが不要なエントリの最初の障壁であり、研究で言及された脆弱性のいずれかを悪用するという事実を一貫して強調しました。
セキュリティアプリのテスト
まず、デバイス管理者権限を持つすべてのアプリを、それらの権限を取り消すことなく削除できるというセキュリティの脆弱性をテストしました。
それ自体、私たちはXiaomi Mi Max 2デバイスとXiaomi以外のデバイス(コントロールとして機能する)にCerberus盗難防止アプリをインストールしました。 OnePlus 5およびSamsung Galaxy J7 Max(どちらもAndroid 7上で実行されている)デバイスからCerebrusアプリをアンインストールすると、携帯電話からCerberusアプリのパスワードと同時にシステムパスワードも要求されます。
しかし、Mi Max 2デバイスからCerberusをアンインストールしようとすると、追加の入力を求めることなく単にアプリケーションがアンインストールされます - パスワードの読み取り。
また読んでください:5つの試みはそれがあなたのAndroidパターンロックをクラックするのにかかるすべてですミムーバーテスト
GuidingTechへの声明の中で、Xiaomiの広報担当者は、Mi Moverをデバイス上で使用するにはパスワードが必要であると述べました。
そこで、私たちは2つのXiaomiデバイス - Mi Max 2とRedmi 4A - を見つけ、それらに指紋とパターンロックをかけ、Mi Mover機能をチェックした。 驚いたことに(またはそうではありません!)Mi Moverアプリはパスワードを要求しませんでした。
誰がデータを送信するのか、誰が受信するのか、そしてすべてのシステムまたはアプリのデータを送信する必要があるのかを尋ねただけです。 そしてVoila! Mi Moverアプリがデータの転送を完了する前後に、パスワード入力を必要とせずにデータ転送が開始されました。
ロックされていないXiaomiデバイスへのアクセス権を取得した人なら誰でも簡単にシステムやアプリのデータを含むデバイスのすべてのコンテンツを複製できるため、この脆弱性は非常に深刻です。
Xiaomiは、最初のセキュリティレイヤが電話をロックしているが、ロックが解除された電話であっても、さらなる被害を回避するために導入する必要があるAndroidのガイドラインがあります - 2FAとアプリ固有のパスワード。
Xiaomiが言うこと
これがXiaomiの全文です。
Escanは本日早くMIUIでいくつかの懸念をリストした報告を共有しました。 私たちは、彼らの報告の中でEscanによってなされた主張に強く反対します。 Xiaomiは、グローバルなインターネット企業として、私たちのデバイスとサービスが私たちのプライバシーポリシーを遵守することを保証するためにあらゆる可能な手段を講じています。
ロック解除された電話機への物理的なアクセスを取得した任意の加害者は悪意のある活動をする可能性があり、ロック解除された電話機はユーザデータが盗まれる危険性が非常に高いです。
そのため、Xiaomiでは、PIN、パターンロック、またはほとんどのスマートフォンに搭載されているオンボード指紋センサーを使用して、ユーザーが自分の個人データを保護することをより意識するように推奨しています。 実際、Xiaomiスマートフォンを初めて使用するためにセットアップするときは、指紋ロックを有効にするようにユーザーに促すことが標準的な手順です。
Mi Moverは、ユーザーが自分のデータを古いスマートフォンから新しい携帯電話に移動するのに便利なツールになるように設計されています。 Mi Moverがこのプロセスを開始するためには、パスワードが必要です。
さらに重要なことに、Mi Moverを使用するには、スマートフォンのロックを解除する必要があります。
したがって、ユーザーを保護するには、電話ロックとMi Moverの2つのパスワードが必要です。