Início » Antivírus e Segurança » Celulares da Xiaomi tinham falha de segurança em app de segurança

Celulares da Xiaomi tinham falha de segurança em app de segurança

Guard Provider, app de segurança da Xiaomi, permitia que hackers interceptassem conexão para roubar dados ou instalar malware

Felipe Ventura Por

Um aplicativo de segurança da Xiaomi permitia que hackers interceptassem a conexão para roubar dados ou instalar malware, segundo pesquisadores de segurança da Check Point. A falha estava presente no aplicativo Guard Provider, encontrado por padrão em celulares com MIUI; não é possível removê-lo facilmente. Felizmente, o problema foi resolvido.

Xiaomi Pocophone F1

A brecha era relativamente simples: o Guard Provider baixava atualizações através de uma conexão HTTP sem criptografia. Ou seja, ele estava vulnerável a ataques man-in-the-middle: um invasor poderia injetar código para “roubar dados, enviar ransomware ou instalar qualquer outro tipo de malware”, explica a Check Point em comunicado.

Os pesquisadores notificaram a Xiaomi sobre o problema, e a fabricante lançou um patch pouco depois. “A Xiaomi está ciente disso e já trabalhou com nosso parceiro Avast para consertá-lo”, disse uma porta-voz da empresa à CNET.

Falhas de segurança no Guard Provider (com.miui.guardprovider) podem ser mais graves porque ele vem pré-instalado por padrão, e não é possível removê-lo facilmente.

Um tópico do fórum XDA Developers sobre o Pocophone F1 ensina como remover bloatware do aparelho através de root, listando uma série de apps pré-instalados. Um usuário sugere incluir o Guard Provider na lista, mas outra pessoa avisa: “depois de desinstalar os componentes de segurança da MIUI (Guard Provider), não consigo instalar nenhum aplicativo manualmente”.

Como funcionava o ataque nos celulares da Xiaomi

O Guard Provider inclui três motores diferentes de antivírus: o usuário pode escolher entre Avast, AVL e Tencent como padrão. Então, o aplicativo atualiza periodicamente sua base de dados sobre vírus baixando o arquivo avast-android-vps-v4-release.apk, explica a Check Point.

No entanto, o mecanismo de atualização usava uma conexão HTTP desprotegida para baixar esse arquivo. Por isso, um invasor podia realizar um ataque man-in-the-middle, conectando-se à mesma rede Wi-Fi e enviando um arquivo próprio. Ele conseguia até mesmo impedir atualizações futuras do Avast.

Isso também era possível caso o usuário trocasse o motor de antivírus para a AVL: o invasor conseguia bloquear a comunicação do celular com os servidores da AVL, forçando o usuário a escolher novamente o Avast. Todos os detalhes técnicos são explicados aqui.

A Check Point critica o uso de SDKs diferentes em um mesmo aplicativo: eles podem ter falhas de segurança individualmente pequenas, mas que podem interagir entre si. “Quando vários SDKs são implementados no mesmo app, é provável que vulnerabilidades ainda mais críticas não estejam muito distantes”, dizem os pesquisadores.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Cond Ametista

Fans da Apple , depois do Ipin , ipod vem os igado!!

Keaton

Levando em conta o preço dos braseiros... falando sério, é uma merda. quebrou a tela, joga fora pq custa mais que o aparelho pra trocar e demora pq não tem no Brasil... (não falo da Xiaomi, mas sim de umas outras como a Doogee de merda)

#VAICORINTHIANS

A xiaomi implementou diversas mudanças na MIUI 10 com base no forum segundo o próprio tecnoblog.
Eu uso a bastante tempo, e nunca tive problemas, mas tbm faz um tempo já que não uso um android puro para comparar, mesmo assim gosto bastante.

Dispister

Que coisa não?!?!

Jairo ☠️

Sim , inclusive o Android One ganhou disparado na votação quando foi comparada a MIUI

Hemerson Silva

Eu tenho u Mi8 e não tem nenhum problema que os srs. estçao relatando. Muito papo e pouca prática.

Maicon Bruisma

Por isso que no meu Note 4x e Mi5s eu tinha Lineage e RR, respectivamente. Nunca confiei dados sensíveis, assim como ainda não confio usando Samsung, Motorola e Apple agora

Credulos

Tem software Chines no meio, cheio de propagandas nativas, não espero nada menos que falhas de segurança.

Franco Luiz

Esse e o ponto haha

uB.

Brinquei com isto outro dia com um amigo.

O app de "segurança" da MIUI EXIGE um monte de permissões. Aí pergunto: quem vai proteger meus dados que o app Segurança tá acessando? 😂

anderson

Não aguento mais ler sobre essa marca. Virou seita.

Erisdan Maciel

Tem que ser muito corajoso pra comprar importando.

Dispister

Sim ainda sim ela consegue cagar, o modo noturno a Lineage é bem melhor.
Fico pensando o cara paga uma bala no MI8 todo colorido e ainda com propaganda

Felipe Xavier

Mesma situação minha, parti para um Mi A2 e não sinto falta de absolutamente nada da MIUI. E mesmo com o Android One a Xiaomi consegue disponibilizar updates falhos (os últimos vieram com perfil de cor da tela errado, cintilação, degradaram a qualidade da câmera nativa, volume baixo no fone de ouvido em alguns aparelhos e por aí vai).
E ainda tem os fanboys que sempre culpam o usuário de não saber usar o sistema, que tem alguma configuração que ele não fez corretamente.

Eu comprei um roborock da xiaomi. Nao me surpreenderei se ele começar a tocar propagando enquanto faz a limpeza...

Exibir mais comentários