polishchuk 0 489 12.08.2017
Обнаружено новые дыры в безопасности MIUI
Лазейка оказалась в приложении Mi Mover, программа при работе обходит защиту Android для восстанавления информации пользователя при переходе с одного девайса Xiaomi на другой, при этом она может передать и более скрытую информацию, например данные используемых рание счетов. Для использования этой информации необходимо было ввести пароль от устройства.
Баг кроется в приложении Mi Mover, которое помогает восстановить личную информацию при переходе с одного устройства Xiaomi на другое. Интересно, что для работы программа обходит встроенные механизмы защиты Android. Таким образом Mi Mover может передавать даже конфиденциальные данные, например, платёжную информацию. При этом для начала трансфера необходимо ввести пароль от смартфона.
Команда eScan взяла Mi Max 2 и Redmi 4A и обнаружила, что на обоих смартфонах Mi Mover не требоваля пароль, графический ключ или отпечаток пальца для получения данных. Используя это вполне можно получать данные аппарата с разблокированным экраном прямо через встроенное в прошивку приложение.
Ещё одна найденная уязвимость связана с правами администратора для приложений. При обеспечении таких привилегий программа может управлять смартфоном и даже стереть из памяти все данные. Управление правами или удаление приложения с расширенным доступом также требует ввода пароля, но Mi Max 2 не потребовал его.
Интересно, что Xiaomi отрицает информацию из доклада и порекомендовала владельцам гаджетов пользоваться сканером отпечатков пальцев и наэкранными паролями для обеспечения безопасности.