Xiaomi Mi 5s לוגו

שאומי (Xiaomi) שחררה עדכון דחוף למכשיריה לאחר שהתגלתה פרצת אבטחה חמורה באפליקציה מובנית, שבאופן אירוני אמורה להגן על המשתמש מפני נוזקות ורוגלות.

הפרצה שהתגלתה על ידי צ'ק-פוינט הישראלית, מספקת להאקרים דלת אחורית כדי להחדיר תוכנה זדונית שתאפשר לגנוב מידע, להתקין אפליקציות ולמעשה להשתלט על הטלפון כולו – ללא ידיעת המשתמש.

Xiaomi Guard Provider vulnerability

לפי הנאמר, הפרצה מקורה בתכנון אפליקציית האבטחה של שאומי, ה-Security Guard, הכוללת מספר פונקציות שונות ומשלבת יכולות של מספר חברות תוכנה. כך למשתמש ניתנת האפשרות לסרוק את המכשיר באמצעות יישומי אנטי-וירוס שונים של AVG, Avast ו-Tecent. בצ'ק-פוינט אומרים כי השילוב של השלושה לא נעשה כראוי וללא הצפנה והשימוש בממשקי הפיתוח (SDK) של היצרניות הללו חשף את מכשירי שאומי לפרצה מסוג 'האיש שבאמצע' (Man-in-the-Middle).

"תרחיש ההתקפה ממחיש את הסכנות של שימוש במספר ממשקי פיתוח באפליקציה אחת", אמר סלאבה מאקבב, חוקר אבטחה בצ'ק-פוינט. "בעוד שבאג קטן בכל ממשק פיתוח שכזה לא אמור להשפיע, השילוב של מספר ממשקים עלול להיות מסוכן ולהגביר את הסיכוי לפגיעות באפליקציה."

כאמור, שאומי כבר החלה בשחרור עדכון לאפליקציית האבטחה שלה דרך מערכת העדכונים לאפליקציות המובנות.

-פרסומת-
העורך הראשי ומנהל האתר. איש חומרה שנולד עם מברג ביד ומקום לכרטיס הרחבה. בעל תואר ראשון במדעי הטכנולוגיה ומעריץ מושבע של גאדג'טים מאז שהמציאו את המסך (גם לא מגע). מעביר את זמנו עם מוצר שזה עתה יצא לבין זה שייצא, חי את הרשת ואף פעם לא שוכח שטכנולוגיה טובה היא פרי מחשבתם של אנשים טובים.