Con la llegada inminente del fabricante chino a nuestro país, se ha anunciado una nueva vulnerabilidad para los propietarios de los teléfonos de la marca, encontrada en la aplicación de seguridad preinstalada, que viene en los equipos con la capa de personalización MIUI, la cual podría ser utilizada como un backdoor por los actores de amenazas.
Expertos en seguridad descubrieron que la aplicación de seguridad, llamada Guard Provider, que actualmente está preinstalada en más de 150 millones de dispositivos Xiaomi se ve afectada por múltiples problemas gracias a este fallo permitiendo a los atacantes de forma remota, obtener el control de los teléfonos.
Guard Provider, desarrollado por Xiaomi, incluye tres programas antivirus, Avast, AVL y Tencent, y permite a los usuarios elegir la opción que deseen. La aplicación de seguridad permite incluir software de terceros dentro de una sola aplicación, para ello se utilizan varios Kits de desarrollo de software (SDK). El SDK comparte el mismo contexto de aplicación y permisos, los principales problemas que resultan de esta implementación son:
Un problema en uno de los SDK’s comprometería la protección de todos los demás. Los datos de almacenamiento privado de un SDK no se pueden aislar y, por lo tanto, otro SDK puede acceder a ellos.
Los expertos descubrieron que la aplicación estaba recibiendo actualizaciones de firmas de antivirus a través de una conexión HTTP no segura, lo que permitía a los atacantes realizar ataques de intermediarios al compartir la misma red WiFi. Luego, los atacantes pueden interceptar la conexión del teléfono y enviar actualizaciones maliciosas.
La investigación demostró la ejecución remota de código en el dispositivo Xiaomi de destino después de explotar cuatro vulnerabilidades en dos SDK diferentes disponibles en la aplicación. Se explotó el uso de una conexión HTTP no segura para entregar actualizaciones de software, otra vulnerabilidad de recorrido de ruta durante el proceso de descompresión al sobrescribir archivos en la app de sandbox (incluidos los archivos relacionados con otro SDK) y la falta de verificación de firma digital durante el proceso.
REFERENCIA
COMENTARIOS