10/08/2017

10/08/2017

Especialistas de segurança descobrem falhas graves na MIUI


As actualizações de segurança têm como principal objectivo corrigir falhas que vão sendo detectadas no código do Android. A Google distribui estas correcções mensalmente, mas como bem sabemos, e tirando honrosas excepções, a grande maioria das marcas anda vários meses atrasadas e as restantes, não estão sequer preocupadas em trabalhar este assunto.
As interfaces do Android têm sido uma das formas que as marcas têm encontrado para se diferenciar umas das outras. Lembramos o tortuoso caminho do TouchWiz da Samsung, a longa epopeia da da EMUI da Huawei ou a mais recente decisão da Lenovo em acabar com a VibeUI, passando a apostar no Android puro.

Um dos aspectos que diferencia os smartphones da Xiaomi é a sua interface MIUI, a qual consegue dar um aspecto completamente diferente ao Android que a Google disponibiliza. Há quem goste, há quem tolere e há naturalmente que não a suporte. Independentemente dos gostos, a Xiaomi mantém a sua aposta na MIUI, que já vai na nona versão.

A eScan, uma empresa especializada em segurança, publicou agora um trabalho em que apresenta algumas falhas graves na MIUI.

A app Mi-Mover permite migrar os dados de um equipamento para outro, isto independentemente do seu grau de confidencialidade. Basta terem dois smartphones com MIUI e rapidamente passam os dados entre os terminais, sem que seja necessário introduzir um código PIN ou impressão digital.

O Android Device Manager, tal como o Cerberus e outras apps do mesmo género, permitem proteger os smartphones e tablets e, no caso de roubo, apagar remotamente a informação dos mesmos. Para desinstalar estas apps no Android, é necessário uma password de administrador, mas a eScan descobriu que a MIUI dispensa esta utilização, permitindo que estas apps que protegem o equipamento, possam ser desinstaladas por qualquer pessoa que tenha acesso ao mesmo.

De referir que estas não foram as únicas falhas de segurança que a eScan encontrou. Há no entanto que salientar que só é possível tirar partido destas duas situações se o terminal estiver desbloqueado.

Entretanto, a Xiaomi já respondeu oficialmente a este relatório:

Escan earlier today shared a report which lists downs few concerns in MIUI. We strongly disagree with the allegations made by Escan in their report. As a global Internet company, Xiaomi takes all possible steps to ensure our devices and services adhere to our privacy policy.

Any perpetrator who gains physical access to an unlocked phone is capable of malicious activity and an unlocked phone is greatly at risk of user data being stolen.

This is why, we at Xiaomi encourage our users to be more aware of guarding their private data using PIN, Pattern locks, or the onboard fingerprint sensor available on most of our smartphones. In fact, prompting users to enable fingerprint lock is a standard step when setting up a Xiaomi smartphone for first use.

Mi Mover is designed to be a convenient tool for our users to move their data from an old smartphone to a new phone. In order for Mi Mover to initiate this process, a password is required.

More importantly, in order to use Mi Mover, the smartphone has to be unlocked.

Thus, there are two layers of protection for the user – phone lock and a Mi Mover password that are necessary.

Resumindo, as falhas existem, mas para tirar partido das mesmas, o equipamento tem de estar desbloqueado. Se não tinham razões para utilizar um código de segurança, agora passam a ter mais do que razões para o fazer.

A Xiaomi não esclarece no entanto se vai corrigir estas falhas e se as mesmas também estão na MIUI 9.

0 comments:

Publicar um comentário