De Chinese telefoonmaker Xiaomi mag dan van harte welkom zijn op de markt met de exponentiële groei van de verkoop van de Mi 4, maar dat zou kunnen veranderen na de ontdekking van malware die naar verluidt vooraf op het apparaat is geïnstalleerd.
Beveiligingsbedrijf Bluebox, dat een Xiaomi Mi 4-apparaat testte, hief ook de rode vlag op voor een groot aantal andere telefoonbeveiligingsdilemma’s. Zo wordt ontdekt dat er onder de motorkap met opzet met het apparaat is geknoeid om derden toegang te geven tot het systeem. In het licht van berichten over surveillanceprogramma’s van de overheid over de hele wereld, met name in de Verenigde Staten, is dit alarmerend.
Er kan geen twijfel bestaan over de identiteit van de telefoon die wordt getest, aangezien beveiligingsonderzoekers eerst een identiteitscontrole hebben uitgevoerd met behulp van de Xiaomi Mi Identification-app. Malware die tijdens de Bluebox-test werd gedetecteerd, omvatte adware die zich voordeed als een legitieme Google-app en Trojaanse paarden.
Het incident vormt een hoog risico voor huidige en toekomstige gebruikers van Xiaomi Mi 4, die wereldwijd in verkoop groeit. Ze lopen niet alleen het gevaar de controle over hun Xiaomi-telefoon te verliezen aan hackers door de aanwezigheid van mogelijke Trojaanse paarden, maar ook het risico dat hun vertrouwelijke informatie wordt gestolen, zoals e-mailadres, wachtwoorden en inloggegevens.
Een ander voorbeeld van de kwetsbaarheid van Xiaomi Mi 4 is te vinden in het besturingssysteem. Volgens Bluebox is het besturingssysteem van Xiaomi niet gecertificeerd als een gevorkte versie van Android, waardoor het onwettig is en openstaat voor verschillende beveiligingslekken. Gelukkig heeft dit geen invloed op nieuwe versies van Android en zijn alleen oudere versies onderhevig aan zo’n fout. In het bijzonder ontdekten Bluebox-onderzoekers dat het getroffen Xiaomi OS een combinatie is van KitKat 4.4.4 en een eerdere iteratie.
Het enorme aantal kwetsbaarheden dat in dit specifieke Xiaomi-product wordt aangetroffen, doet je afvragen of het bedoeld was om aan klanten te verkopen of alleen om te testen. De Chinese telefoonfabrikant zou waarschijnlijk niet het risico lopen zijn geloofwaardigheid in gevaar te brengen door roekeloos een gebrekkig product op de markt te brengen.
In een verklaring zei Xiaomi dat het apparaat dat Bluebox tegenkwam bij de beveiligingscontrole niet de standaard MIUI ROM van het bedrijf gebruikte, omdat Xiaomi ROM-builds niet zijn geroot of vooraf zijn geïnstalleerd met apps van derden. Het bedrijf ontkrachtte vervolgens de bevindingen van Bluebox door te stellen dat het geteste Bluebox-apparaat waarschijnlijk niet via een gerenommeerde Xiaomi-retailer kon worden gekocht, aangezien het Chinese bedrijf niet de gewoonte heeft om telefoons te verkopen via externe winkels, maar alleen via zijn online kanalen en vervoerders.
Wat contraproductief is voor Xiaomi. De verklaring geeft het vermoeden dat het inderdaad gemakkelijk is om met het apparaat van Xiaomi te knoeien in de winkelketen of zelfs als het door de marketingketen gaat.
