Das israelische Sicherheitsunternehmen Check Point hat eine Schwachstelle in Xiaomis vorinstallierter Security-App gefunden. Auf Deutsch nennt sich die App mit dem apk-Namen com.miui.securitycenter einfach Sicherheit. Die eigentliche Sicherheitslücke befindet sich jedoch in dem Modul MIUI Sicherheitskomponenten (com.miui.guardprovider). Dort integriert ist ein Virenschutzfunktion, die Aktualisierungen entweder von Avast, AVL oder Tencent bezieht. Anwender können sich zwischen diesen Anbietern entscheiden.
Wie Check Point nun festgestellt hat, verläuft das Update der Virensignaturen über eine ungesicherte HTTP-Verbindung. Das bedeutet, dass, wenn sich ein potenzieller Angreifer im selben WiFi-Netzwerk befindet, ein Angreifer durch einen „Man-in-the-Middle-Angriff“ Malware in diese Updates einschleusen kann. Als Teil eines SDK-Updates eines Drittanbieters kann der Angreifer dann den Schutz vor Malware deaktivieren und jeden beliebigen Code injizieren, um Daten zu stehlen, Ransomware einzubauen oder jede andere Art von Malware installieren. Check Point hat die Schwachstelle Xiaomi mitgeteilt. Kurz darauf hat der viertgrößte Smartphonehersteller einen Patch bereitgestellt, der das Problem behebt.
„Xiaomi ist sich dessen bewusst und hat bereits mit unserem Partner Avast zusammengearbeitet, um die Schwachstelle zu beheben“, sagte eine Unternehmenssprecherin in einer Erklärung. Warum sich Xiaomi nur auf Avast bezieht, ist unklar. Laut Check Point werden die Aktualisierungen der anderen Dienstleister ebenfalls über ungesicherte HTTP-Verbindungen durchgeführt. Dabei offenbart der Update-Prozess von AVL weitere Schwächen.
Check Point weist in diesem Zusammenhang daher darauf hin, dass bei Verwendung mehrerer SDKs zusätzliche Gefahrenpotentiale entstehen. Während kleinere Fehler in jedem einzelnen SDK oft „nur“ ein isoliertes Problem darstellen, ist es wahrscheinlich, dass bei der Implementierung mehrerer SDKs innerhalb derselben App weitere kritischere Schwachstellen auftreten können. Check Point hat für den Angriff auf das Xiaomi-Smartphone exakt diese Schwächen ausgenutzt.
Erfahren Sie in diesem Whitepaper von Konica Minolta, wie sich durch die Nutzung innovativer Technologien neue Geschäftschancen generieren lassen. Jetzt herunterladen!
PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!
ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.
Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
