Устройства Xiaomi подверглись массовому обновлению оболочки MIUI. Но компания eScan обнаружила несколько проблем безопасности в надстройке MIUI.
Первая проблема касается применения Mi-Mover, которая позволяет отправлять ваши приложения и настройки с одного телефона к устройствам Xiaomi. Это довольно нормальная функция, она также присутствует на смартфонах Nexus.
Но с Xiaomi проблема в том , что при перемещении данных от одного устройства к другому Xiaomi, Mi-Mover посылает системные данные, не включая конфиденциальную информацию , такие как кредитные карты. Этот шаг обходит встроенную защиту Android. Обычно его перед передачей такой информации, приложение должно запрашивать пароль, отпечаток пальца, и т.д .. Но Mi-Mover этого не требует.
Еще одна проблема связана с приложениями , которые обеспечивают безопасность. Как правило, эти приложения используют «права администратора» , чтобы стереть данные с устройства , когда телефон попадет в чужие руки. Удаление этих приложений требует пароль, но здесь снова баг.
При этом представитель компании Xiaomi предоставил свой комментарий:
Обеспечение безопасности данных пользователя очень важно для Xiaomi. Ранее Escan опубликовал доклад, содержащий ряд претензий к MIUI. Мы категорически не согласны с заявлениями, сделанными Escan в их докладе. Xiaomi – глобальная интернет-компания, и мы делаем все возможное, чтобы устройства и сервисы соответствовали нашей политике конфиденциальности.
Отметим, разблокированный смартфон подвержен большому риску. Любой нарушитель, получивший физический доступ к разблокированному смартфону, может совершить противоправные действия и получить доступ к конфиденциальным данным пользователя.
Именно поэтому Xiaomi призывает пользователей защищать свои личные данные, используя пин-коды, графические ключи и дактилоскопический датчик, предустановленный на большинстве наших устройств. При первоначальной активации смартфона Xiaomiкаждому пользователю предлагается внести свой отпечаток пальца.
Mi Mover – удобный инструмент, позволяющий переносить данные со старого смартфона на новый. Для этого сначала необходимо ввести пароль.
Более того, воспользоваться Mi Mover можно только в том случае, если смартфон разблокирован.
Таким образом, существует два уровня защиты данных пользователя: блокировка телефона и пароль для Mi Mover.
Возвращаясь к докладу Escan, приводим комментарий от нашей службой безопасности: «Что касается доводов, приведенных командой Escan, кто-то должен завладеть смартфоном пользователя и разблокировать его. Это крайне тяжело сделать и, следовательно, видится маловероятным. В таком случае, мы можем говорить только о теоретической возможности завладения данными пользователя. Для защиты данных необходимо не дать злоумышленникам украсть и разблокировать ваш смартфон».