DAJ CYNK

Huawei szpieguje? Patrz na ręce Xiaomi

Anna Rymsza

Rozrywka

Xiaomi MIUI miało poważną lukę w zabezpieczeniach

Wszyscy rzucili się na Huaweia, a nikt nie mówi o krytycznych lukach bezpieczeństwa w urządzeniach Xiaomi. MIUI długo pozwalał na ataki... za pośrednictwem firmowej aplikacji bezpieczeństwa Guard Provider. 

Smartbudynek Xiaomi w Dubaju? Czy oni oszaleli?

Czytam dziś o odważnym (głupim?) pomyśle na smartbudynek Xiaomi w Dubaju i zastanawiam się kto wpadł na ten absurdalny pomysł. Przecież media jeszcze nie ostygły po wielkiej aferze z kamerami Xiaomi. Chcesz podglądać sąsiadów? Przekonaj ich by kupili sprzet Xiaomi...

Google błyskawicznie odpiął kamery Xiaomi ze swoich systemów, w trosce o bezpieczeństwo użytkowników. Tymczasem już po kilku dniach dowiadujemy się, że w Dubaju powstanie smartbudynek, którym sterować ma sztuczna inteligencja i urządzenia automatyki domowej Xiaomi. W tym będą nowe centralki XiaoAI Touchscreen Speaker Pro 8:

Xiaomi XiaoAI Touch Screen Speaker Pro 8

Inwestorem jest firma Emaar, która budowała także imponujący Burdż Chalifa. Na wizualizacjach to wszystko wygląda wspaniale, ale trochę strach tam mieszkać. Trudno zaufać Xiaomi nie tylko z powodu wpadki z kamerkami.

Pamiętamy przecież o możliwości karmienia i głodzenia cudzych zwierząt przez dozowniki karmy FurryTail, ale przede wszystkim o skandalicznych standardach bezpieczeństwa w telefonach Xiaomi.

Zobacz: Waga Xiaomi proponuje pornografię? Spam jest wszędzie, nawet w Mi Fit

Bezpieczeństwo według Xiaomi

Niedopatrzenie ze strony Xiaomi doprowadziło do obecności luki w jednej z ważniejszych aplikacji systemowych MIUI. Potężne zagrożenie zostało szczegółowo opisane przez Slavę Makkaveeva, analityka z firmy CheckPoint, wiosną 2019 roku. Guard Provider, domyślna aplikacja zabezpieczająca (w polskiej wersji MIUI to część Panelu sterowania), była podatna na ataki z zewnątrz. 

Cyberprzestępcy mieli możliwość wstrzyknięcia szkodliwych pakietów w komunikację Guard Providera i tą drogą dostarczenia szkodliwego kodu na smartfon. Wykorzystując kilka luk w aplikacji, mogli uruchomić własne skrypty i przejąć kontrolę nad systemem MIUI. Droga do instalacji trojana i wykradania danych była wolna. 

Xiaomi, nie mieszaj

Podatność na ataki to prawdopodobnie wina złego projektowania i niedostatecznej kontroli jakości oprogramowania po stronie Xiaomi. Winne były interakcje między bibliotekami deweloperskimi, używanymi przez Xiaomi Guard Provider. 

Zobacz: Xiaomi ma problem. Kamery Mijia pokazywały ujęcia z mieszkań obcych ludzi

Trzeba wiedzieć, że antywirus Xiaomi korzysta z trzech zewnętrznych rozwiązań. Potencjalne zagrożenia są wykrywane z pomocą silników dostarczonych przez trzy firmy. Pierwsza to Avast z Czech, druga to chiński Antiy (producent aplikacji antywirusowej AVL) i wreszcie Tencent. Ten ostatni bardziej znany jest jako wydawca PUBG i miejsce pracy 7 tys. aktywnych członków Komunistycznej Partii Chin. 

By korzystać z silników antywirusowych, aplikacja Xiaomi musi używać dostarczonych przez producentów bibliotek deweloperskich (SDK, Software Development Kit). Jednak biblioteki zostały połączone nieumiejętnie. Na styku modułów Avasta i AVL pojawił się błąd umożliwiający wykonanie szkodliwego kodu. SDK Avasta pozwalało na zainicjowanie ataku, AVL zaś na przeprowadzenie dalszych etapów.

Wpadka goni wpadkę

Sama możliwość wykonania szkodliwego kodu na smartfonie jeszcze nie oznacza, że trzeba popadać w paranoję, ale Xiaomi dało ciała na całej linii. Ruch między aplikacją zabezpieczającą i serwerami zewnętrznych dostawców nie był szyfrowany. To proszenie się o ataki typu man-in-the-middle.

Każdy, kto miał dostęp do połączenia, mógł nim manipulować i dodać coś od siebie, a aplikacja zabezpieczająca Xiaomi bez mrugnięcia okiem uruchomi malware. Jeśli podłączałeś ostatnio smartfon Xiaomi do publicznego WiFi, możesz znaleźć na nim niemiłą niespodziankę. Taki atak teoretycznie mógłby przeprowadzić także ktoś mający dostęp do twojej sieci domowej albo dostawca internetu. 

Zobacz: Promocja Xiaomi w Galerii Mokotów: dantejskie sceny i zamknięcie sklepu

Twój Xiaomi jest podatny na ataki, jeśli nie otrzymałeś aktualizacji

Slava Makkaveev zaznaczył w swojej analizie, że to problemy z łączeniem bibliotek z zewnętrznych źródeł to częsty problem. Drobne błędy w różnych miejscach mogą urosnąć do ogromnych rozmiarów, jeśli zostaną nieodpowiednio połączone. W 2018 roku analitycy wyliczyli, że średnio aplikacja dla Androida zawiera biblioteki z 18 różnych źródeł. To jeden wielki bajzel.

W tym przypadku jednak nie można winić jedynie dostawców SDK. Brak szyfrowania komunikacji między aplikacją zabezpieczającą i serwerami Avasta to skandaliczne zaniedbanie. Co więcej, Xiaomi brakuje transparentności. Wiemy już, że ruch jest szyfrowany, choć nie ma gwarancji, że poprawiona aplikacja dotarła do wszystkich użytkowników. Dalsze losy luk w SDK Avasta i AVL pozostają nieznane.

Z niepokojem czekamy na komentarz

Poprosiliśmy Xiaomi Polska o komentarz na temat nowego raportu Check Point. Zaktualizujemy publikację, gdy tylko otrzymamy odpowiedź. Na pewno Xiaomi przydałby się program Bug Bounty, nagradzający odkrywanie luk. Na tę chwilę szczerze martwię się o prywatność osób korzystających ze smartbudynku Xiaomi. Obym się myliła.

Ankieta
39%
23%
29%
10%

Wszystkich głosujących: 1807

Źródło ankiety: Huawei szpieguje? Patrz na ręce Xiaomi

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło tekstu: Check Point, voicebot, wł.