Mayor defecto de seguridad encontrado en el MIUI: Las aplicaciones de seguridad de terceros se pueden desinstalar fácilmente

El mundo en rápida expansión de Internet se ve empañado por numerosas vulnerabilidades de seguridad que surgen y eScan Antivirus, con sede en la España, ha publicado un informe que sugiere múltiples fallas de seguridad encontradas en los dispositivos Xiaomi que ejecutan el sistema operativo MIUI.

Con una cuota de mercado del 13%, Xiaomi es actualmente una de las principales marcas de teléfonos inteligentes de la España, que es el segundo mercado de teléfonos inteligentes más grande del mundo, justo después de China.

La investigación de eScan señala múltiples fallas en el sistema operativo MIUI que es capaz de introducir vulnerabilidades en el usuario final así como en las aplicaciones de seguridad.

«La aplicación de sistema de MIUI que maneja la desinstalación de las aplicaciones representa una amenaza significativa para las aplicaciones de seguridad. Se ha observado que estas aplicaciones en el momento de la desinstalación pedirían una contraseña en todos los otros dispositivos, aunque en MIUI, estas aplicaciones se desinstalan sin la necesidad de una contraseña», aNoteron los investigadores.

Otro fallo de seguridad importante observado por los investigadores fue que la aplicación Mi Mover no requiere una contraseña para transferir datos de un dispositivo a otro.

«Desde el punto de vista de la seguridad, el proceso de desinstalación implementado en MIUI representa una amenaza significativa para la seguridad, ya que el proceso de autenticación implementado por la aplicación se pasa por alto», agregaron.

Problemas de seguridad encontrados por eScan

Los investigadores de eScan encontraron los siguientes problemas con el sistema operativo MIUI de Xiaomi.

  • MI-Mover App anula la Sandbox de la aplicación del sistema operativo Android
  • Cualquier aplicación de administración de dispositivos puede desinstalarse sin revocar sus derechos de administrador de dispositivos
  • Xiaomi con MI-Mover se puede clonar en pocos minutos sin necesidad de rootear el dispositivo
  • MIUI devices en vez de borrar, esconde la aplicación Work-Profile Admin
  • Los perfiles de espacio de trabajo no se pueden diferenciar del perfil personal, lo que supone un gran reto desde el punto de vista de la seguridad en la gestión de la movilidad empresarial
  • .

GT también probó la vulnerabilidad de seguridad

De todos estos problemas, los más urgentes y generalizados son las vulnerabilidades que atacan a las aplicaciones de seguridad y otro relacionado con Mi Mover.

Hablando con Tecnotuto, el portavoz de Xiaomi insistió constantemente en el hecho de que el escáner de huellas dactilares del dispositivo es la primera barrera de entrada no deseada y para explotar cualquiera de las vulnerabilidades mencionadas en la investigación, esta barrera de seguridad tiene que romperse.

Prueba de la aplicación de seguridad

Primero, probamos la vulnerabilidad de seguridad que establece que cualquier aplicación que tenga permiso de administrador de dispositivos puede ser eliminada sin revocar esos derechos.

De por sí, hemos instalado la aplicación Antirrobo de Cerberus en nuestro dispositivo Xiaomi Mi Max 2 y en otros dispositivos (para que actúen como control). Cuando se desinstala la aplicación Cerebrus en el dispositivo OnePlus 5 y Samsung Galaxy J7 Max (ambos ejecutándose en Android 7), el teléfono solicita la contraseña del sistema así como la contraseña de la aplicación Cerberus.

Pero cuando intentamos desinstalar Cerberus del dispositivo Mi Max 2, la aplicación simplemente se desinstaló sin pedir ninguna entrada adicional – lea la contraseña.

Lee también: 5 intentos es todo lo que se necesita para descifrar el bloqueo del patrón de Android

Prueba de Mi Mover

En su declaración a Tecnotuto, el portavoz de Xiaomi mencionó que se requiere una contraseña para poder usar Mi Mover en el dispositivo.

Así que encontramos dos dispositivos Xiaomi – Mi Max 2 y Redmi 4A -, les pusimos cerraduras de huellas dactilares y patrones y comprobamos la función Mi Mover. Para nuestra sorpresa (¡o no!) la aplicación Mi Mover no pidió ninguna contraseña.

Sólo nos preguntaba quién va a enviar los datos, quién los va a recibir y qué datos del sistema o de la aplicación hay que enviar. Y Voila! La transferencia de datos se inició sin necesidad de introducir ninguna contraseña antes o después de que la aplicación Mi Mover terminara de transferir los datos.

Esta vulnerabilidad también es crítica, ya que cualquiera que tenga acceso a su dispositivo Xiaomi desbloqueado puede clonar fácilmente todo el contenido del dispositivo, incluidos los datos del sistema y de la aplicación en un abrir y cerrar de ojos.

Xiaomi se ha centrado en el hecho de que la primera capa de seguridad está bloqueando el teléfono, pero incluso en un teléfono desbloqueado, hay otras directrices de Android que hay que poner en práctica para evitar más daños, como una 2FA y contraseñas específicas de aplicaciones.

Lo que dice Xiaomi

Aquí está la declaración completa de Xiaomi:

Escan hoy temprano compartió un informe que enumera pocas preocupaciones en MIUI. Estamos totalmente en desacuerdo con las acusaciones hechas por Escan en su informe. Como compañía global de Internet, Xiaomi toma todas las medidas posibles para garantizar que nuestros dispositivos y servicios se adhieran a nuestra política de privacidad.

Cualquier perpetrador que obtenga acceso físico a un teléfono desbloqueado es capaz de realizar actividades maliciosas y un teléfono desbloqueado corre un gran riesgo de que se roben los datos de los usuarios.

Por eso, en Xiaomi animamos a nuestros usuarios a ser más conscientes de la protección de sus datos privados mediante el PIN, los bloqueos de patrones o el sensor de huellas dactilares integrado disponible en la mayoría de nuestros teléfonos inteligentes. De hecho, pedir a los usuarios que activen el bloqueo de huellas dactilares es un paso estándar al configurar un smartphone Xiaomi para su primer uso.

Mi Mover está diseñado para ser una herramienta conveniente para que nuestros usuarios trasladen sus datos de un antiguo teléfono inteligente a uno nuevo. Para que Mi Mover pueda iniciar este proceso, se requiere una contraseña.

Y lo que es más importante, para poder utilizar Mi Mover, el smartphone debe estar desbloqueado.

Por lo tanto, hay dos capas de protección para el usuario: el bloqueo del teléfono y una contraseña de Mi Mover que son necesarias.

Última actualización el 8 de febrero de 2018

Deja un comentario