Smartphone Xiaomi gặp nguy vì lỗ hổng bảo mật trong MIUI

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Smartphone Xiaomi gặp nguy vì lỗ hổng bảo mật trong MIUI
Lỗ hổng bảo mật nghiêm trọng trong MIUI vừa được phát hiện có thể sẽ trở thành miếng mồi ngon cho tin tặc.

1692999.jpg

Theo Android Authority, eScan Antivirus, một công ty an ninh mạng Ấn Độ, vừa phát hiện ra một số lỗ hổng nghiêm trọng trên giao diện MIUI của Xiaomi (Trung Quốc).

Những lỗ hổng mới xuất phát từ một số ứng dụng và tính năng nhất định trên các model smartphone của Xiaomi. Đầu tiên là Mi Mover, ứng dụng cho phép chuyển mọi thiết lập và dữ liệu từ các thiết bị Android khác sang điện thoại Xiaomi.

Theo quy tắc thông thường, để bảo vệ dữ liệu người dùng trước khi chuyển dữ liệu, các hãng sẽ yêu cầu người dùng phải cung cấp mật khẩu trước khi bật Mi Mover. Mặc dù vậy, lỗ hổng bảo mật đã bất ngờ xuất hiện khi các chuyên gia thử nghiệm chuyển dữ liệu giữa hai chiếc Mi Max 2 và Redmi 4A.

Ứng dụng Mi Mover gần như không không yêu cầu mật khẩu hay các hình thức bảo mật khác như vân tay từ người dùng trước khi chuyển đổi.

Nguy hiểm hơn, lỗ hổng này sẽ tạo điều kiện cho tin tặc có thể khai thác để nhân bản hệ thống, lấy cắp dữ liệu ứng dụng dễ dàng. Kết hợp với đó, do Xiaomi hiện chưa trang bị tính năng bảo vệ Sandbox cho đa số smartphone nên người dùng càng dễ có nguy cơ bị tin tặc tấn công bằng hình thức tinh vi này.

1692996.jpg

Lỗ hổng bảo mật thứ hai trên MIUI đến từ tính năng quản trị thiết bị. Đa số các mẫu Android sẽ yêu cầu xác nhận quyền quản trị mỗi khi cài mới hoặc kích hoạt một ứng dụng vừa cài đặt. Tính năng này cũng yêu cầu người dùng phải nhập mật khẩu trước khi cấp quyền quản trị.


Tuy vậy, lỗ hổng phát hiện trên chiếc Mi Max 2 đã tắt yêu cầu nhập mật khẩu để cấp quyền truy cập quản trị cho thiết bị. Trong thử nghiệm khi gỡ ứng dụng chống trộm Cerberus (ứng dụng yêu cầu cấp quyền quản trị) trên Mi Max 2, máy không yêu cầu người dùng phải nhập mật khẩu để gỡ.

Như vậy đây là một lỗ hổng khá nguy hiểm nếu như tin tặc có thể chiếm quyền quản trị thiết bị và đánh cắp dữ liệu.

Xiaomi hiện đã đưa ra phản hồi "không đồng tình" với thông tin từ công ty eScan Antivirus. Xiaomi tái khẳng định đang tuân thủ đầy đủ các quy trình bảo vệ thiết bị và chính sách bảo mật do hãng đặt ra. Công ty Trung Quốc cũng đề nghị phía người dùng nên sử dụng mã PIN, cảm biến vân tay hay khóa mẫu để bảo mật thiết bị an toàn hơn.

VnReview​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên