Xiaomi ha vendido millones de teléfonos inteligentes en la India en los últimos años e incluso ha logrado alcanzar el puesto número uno de la marca de teléfonos inteligentes durante 6 trimestres seguidos, según los informes de IDC. En el momento en que existe una enorme demanda de teléfonos Xiaomi en la India, la firma israelí de investigación de seguridad cibernética publicó un nuevo informe sobre una posible falla en la aplicación predeterminada ‘Seguridad’ preinstalada.
La firma de ciberseguridad Check Point descubrió recientemente una falla en una aplicación preinstalada que estaba destinada a detectar y proteger los teléfonos Xiaomi de ataques de malware en primer lugar.
El informe explica la falla de seguridad con todos los detalles. Según el informe de Check Point, el tráfico hacia y desde ‘Guard Provider’ (com.miui.guardprovider) no está encriptado, lo que deja un potencial para llevar a cabo un ataque Man-in-the-Middle (MiTM) cuando se conecta al mismo red.
La firma de investigación identificó que la integración de la aplicación preinstalada de Xiaomi utiliza tres kits de desarrollo de software de terceros diferentes, a saber, Avast, AVL y Tencent. De los tres, Avast y AVL son protección antivirus, mientras que Tencent SDK limpia y mejora el rendimiento de los teléfonos.
LEA TAMBIÉN: Samsung Galaxy A20 es un hermano menor del Galaxy A30 con un precio de Rs. 12,490
La causa de la amenaza potencial aquí es que las tres aplicaciones están agrupadas, por lo tanto, todas comparten los mismos permisos de aplicación. La desventaja es que si una actualización del SDK se inyecta con un código falso, también podría afectar un ataque a los otros dos SDK.
La vulnerabilidad tiene un impacto limitado y debería corregirse en una actualización futura. Pero aún así, cualquier ataque basado en esta falla podría resultar en un tráfico de Internet entrante y saliente comprometido. La falta de encriptación también significa que un atacante podría controlar efectivamente el teléfono de la víctima. Xiaomi aún no ha publicado una declaración sobre este tema. Una vez que Xiaomi publique una declaración en público, la agregaremos a este informe.
