Das israelische Sicherheitsunternehmen Check Point hat eine Schwachstelle in Xiaomis vorinstallierter Security-App gefunden. Auf Deutsch nennt sich die App mit dem apk-Namen com.miui.securitycenter einfach Sicherheit. Die eigentliche Sicherheitslücke befindet sich jedoch in dem Modul MIUI Sicherheitskomponenten (com.miui.guardprovider). Dort integriert ist ein Virenschutzfunktion, die Aktualisierungen entweder von Avast, AVL oder Tencent bezieht. Anwender können sich zwischen diesen Anbietern entscheiden.
Wie Check Point nun festgestellt hat, verläuft das Update der Virensignaturen über eine ungesicherte HTTP-Verbindung. Das bedeutet, dass, wenn sich ein potenzieller Angreifer im selben WiFi-Netzwerk befindet, ein Angreifer durch einen „Man-in-the-Middle-Angriff“ Malware in diese Updates einschleusen kann. Als Teil eines SDK-Updates eines Drittanbieters kann der Angreifer dann den Schutz vor Malware deaktivieren und jeden beliebigen Code injizieren, um Daten zu stehlen, Ransomware einzubauen oder jede andere Art von Malware installieren. Check Point hat die Schwachstelle Xiaomi mitgeteilt. Kurz darauf hat der viertgrößte Smartphonehersteller einen Patch bereitgestellt, der das Problem behebt.
„Xiaomi ist sich dessen bewusst und hat bereits mit unserem Partner Avast zusammengearbeitet, um die Schwachstelle zu beheben“, sagte eine Unternehmenssprecherin in einer Erklärung. Warum sich Xiaomi nur auf Avast bezieht, ist unklar. Laut Check Point werden die Aktualisierungen der anderen Dienstleister ebenfalls über ungesicherte HTTP-Verbindungen durchgeführt. Dabei offenbart der Update-Prozess von AVL weitere Schwächen.
Check Point weist in diesem Zusammenhang daher darauf hin, dass bei Verwendung mehrerer SDKs zusätzliche Gefahrenpotentiale entstehen. Während kleinere Fehler in jedem einzelnen SDK oft „nur“ ein isoliertes Problem darstellen, ist es wahrscheinlich, dass bei der Implementierung mehrerer SDKs innerhalb derselben App weitere kritischere Schwachstellen auftreten können. Check Point hat für den Angriff auf das Xiaomi-Smartphone exakt diese Schwächen ausgenutzt.
Erfahren Sie in diesem Whitepaper von Konica Minolta, wie sich durch die Nutzung innovativer Technologien neue Geschäftschancen generieren lassen. Jetzt herunterladen!
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
