La app de seguridad de Xiaomi permitía ataques externos al móvil

La app de seguridad de Xiaomi permitía ataques externos al móvil

Una firma de seguridad informática ha detectado que la aplicación de seguridad de Xiaomi permitía ataques externos al móvil.
En:

Son muchos los fabricantes que tienen interfaces propias corriendo sobre Android. Eso suele implicar también que haya aplicaciones preinstaladas para diferentes funciones, incluyendo algunas de seguridad.

Una de las marcas que tiene una de este tipo es Xiaomi, que con su app Guard Provider busca dar al usuario una herramienta contra ataques y que, irónicamente, ha sido la causante de que los usuarios de esta marca se hayan visto potencialmente expuestos a ataques externos.

Un fallo debido a los SDK múltiples

Esta aplicación usa varios SDK dentro del mismo código, lo que hace que el trasvase de datos entre ellos sea algo lento. Esto permite a un atacante inyectar código dentro de la aplicación siempre que esté en la misma red Wifi que nosotros. Es lo que se llama un ataque Man-in-the-Middle (MiTM).

Esto permitiría a un hacker acceder a datos como contraseñas y usuarios, además de rastrear nuestra información.

El diseño actual de las aplicaciones, que usan diferentes SDK integrados, pueden llegar a tener lo que se ha denominado como Fatiga de SDK, algo que cada vez es más problemático. Lo hemos visto en esta app de Xiaomi pero no sería descartableque este fallo se replicara en otras.

Xiaomi ha resuelto el problema

Esta aplicación está integrada en el sistema por lo que no es posible desinstalarla. Esto es un problema, pero por suerte Xiaomi ha solucionado ese fallo actualizando la aplicación y corrigiendo el código que permitía realizar los ataques. La propia compañía ha realizado un comunicado al respecto:

Respecto a la vulnerabilidad en la aplicación Guard Provider detectada por Check Point, Xiaomi es consciente de esto y ya ha trabajado con nuestro socio Avast para solucionarlo.  

La empresa de seguridad alertó a Xiaomi de este fallo antes de hacerlo público, un movimiento normal en este tipo de casos, para no dar pie a terceros actores de aprovechar las vulnerabilidades descubiertas por los investigadores.

Mostrar comentarios
Vídeos El Androide Libre
Análisis Huawei Freebuds 3
Review del Roborock S5 Max
Análisis Xiaomi Mi TV 4S 55″
Análisis LG G8x
Así es el Motorola Razr
Análisis Huawei Mate 30 Pro
Las televisiones de Xiaomi llegan a España
Análisis del Netbot S15: robot aspirador que también friega
Cómo instalar la Play Store en el Huawei Mate 30
La estafa del móvil de 40 euros
Análisis Samsung Galaxy Fold
Análisis Huawei Nova 5T
Unboxing Samsung Galaxy Fold
Análisis realme X2 Pro
Análisis realme X2
Xiaomi empieza a bloquear launchers de terceros en MIUI para proteger a los usuarios
Tu Samsung Galaxy S10 no tiene un problema con ese pixel que parpadea