Vários smartphones Xiaomi chegaram com uma falha de segurança

Carlos Oliveira

A Xiaomi tem por hábito incluir nos seu smartphones uma aplicação que visa aumentar a segurança dos seus utilizadores. Contudo, um recente relatório mostra que essa aplicação estava a fazer precisamente o oposto.

O relatório é da autoria da Check Point e mostra-nos que a aplicação Guard Provider recebia atualizações através de uma conexão HTTP insegura. Desse modo, mal-intencionados podiam usar o APK do Avast Update para inserir malware no smartphone da vítima.

Xiaomi Mi 9

Esta inserção de software malicioso poderia ser feito por intermédio de um método chamado "man-in-the-middle" (MITM). Para tal, o meliante apenas teria de estar na mesma rede Wi-Fi da vítima, algo facilmente alcançado num espaço público.

Xiaomi usa uma aplicação de segurança que se provou insegura

Um exemplo simples do funcionamento deste tipo de ataques pode ser dado com interceção de comunicações. Para tal, o meliante configura uma conexão independente, em que a vítima pensa estar a falar com um destinatário fidedigno, mas na verdade está a ter as suas comunicações intercetadas por alguém mal-intencionado.

Ademais, os ataques MITM podem ser usados para a inserção de ransomware e aplicações de rastreio nos smartphones das vítimas. Como se isso não fosse o bastante, os meliantes consegue saber o nome dos ficheiros de instalação e, por conseguinte, tornar os seus softwares inócuos aos utilizadores.

Pocophone F1

Estando o Guard Provider pré-instalado em grande parte dos smartphones da Xiaomi, acredita-se que tenham sido milhões os afetados por esta falha. Não temos um número concreto para avançar, mas é bem mais do que seria desejado por parte da empresa, certamente.

A boa notícia é que a Xiaomi já se encontra ciente do problema. Em resultado, a empresa chinesa já foi capaz de resolver o problema com a colaboração direta da Avast.

Em suma, uma aplicação que deveria proteger o smartphone dos utilizadores Xiaomi era precisamente a fonte de um problema que deveria prevenir. Felizmente existem entidades como a Check Point para nos alertar de coisas que não estão a funcionar como deveriam.

Editores 4gnews recomendam:

Fonte | Via

Carlos Oliveira
Carlos Oliveira
Tendo já passado por várias casas, a 4gnews é aquela que me segura desde 2015. Com um desejo insaciável de me manter atualizado tecnologicamente, a partilha desse conhecimento é apenas o seguimento natural das coisas.