З дірою. У сотнях тисяч смартфонах Xiaomi знайшли небезпечну уразливість

5 квітня 2019, 10:03

Багато смартфони китайської компанії Xiaomi виявилися з дірою: але не в екрані, а в безпеці.

Уразливість в попередньо встановленому додатку від Xiaomi дозволяє хакерам зламати пристрій, повідомляє профільний ресурс gbhackers.com .

Дослідники безпеки з компанії Checkpoint виявили критичну вразливість в передбаченому додатку безпеки Guard Provider, яка дозволяє зловмисникові запустити атаку типу "Людина посередині" (MiTM). Ця вразливість піддає атаці, за найскромнішими підрахунками, понад 150 000 пристроїв. Але, оскільки додаток встановлюється майже в усі смартфони бренду, під загрозою можуть бути мільйони гаджетів.

Відео дня

Попередньо встановлений додаток безпеки в телефонах Xiaomi націлене на захист телефону шляхом виявлення шкідливих програм, але вразливість в додатку піддає користувача атаці.

Мережевий трафік Guard не захищений, що дозволяє підключеному до тієї ж мережі Wi-Fi, що і жертва, проводити атаку MiTM і впроваджувати шкідливий код в складі поновлення SDK стороннього виробника.

"Є кілька прихованих недоліків у використанні декількох SDK в одній програмі. Тому що всі вони поділяють контекст програми та дозволи. Один SDK може поставити під загрозу інші, приватне сховище SDK не може бути ізольовано, тому інший SDK може отримати до нього доступ", - відзначили експерти.

Атака використовує незахищений HTTP-трафік, вразливість обходу шляху і відсутність цілісності.

"Цілком зрозуміло, що користувачі будуть довіряти встановленим додаткам виробників смартфонів, особливо коли ці додатки стверджують, що захищають сам телефон. Однак ця вразливість, виявлена в Guard Provider від Xiaomi, піднімає тривожне запитання про те, хто охороняє охоронця", - додали в компанії Checkpoint.

Checkpoint повідомила про уразливість в Xiaomi, і вона вже виправлена, користувачам рекомендується оновити програму.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X