שאומי (Xiaomi) שחררה עדכון דחוף למכשיריה לאחר שהתגלתה פרצת אבטחה חמורה באפליקציה מובנית, שבאופן אירוני אמורה להגן על המשתמש מפני נוזקות ורוגלות.
הפרצה שהתגלתה על ידי צ’ק-פוינט הישראלית, מספקת להאקרים דלת אחורית כדי להחדיר תוכנה זדונית שתאפשר לגנוב מידע, להתקין אפליקציות ולמעשה להשתלט על הטלפון כולו – ללא ידיעת המשתמש.
לפי הנאמר, הפרצה מקורה בתכנון אפליקציית האבטחה של שאומי, ה-Security Guard, הכוללת מספר פונקציות שונות ומשלבת יכולות של מספר חברות תוכנה. כך למשתמש ניתנת האפשרות לסרוק את המכשיר באמצעות יישומי אנטי-וירוס שונים של AVG, Avast ו-Tecent. בצ’ק-פוינט אומרים כי השילוב של השלושה לא נעשה כראוי וללא הצפנה והשימוש בממשקי הפיתוח (SDK) של היצרניות הללו חשף את מכשירי שאומי לפרצה מסוג ‘האיש שבאמצע’ (Man-in-the-Middle).
“תרחיש ההתקפה ממחיש את הסכנות של שימוש במספר ממשקי פיתוח באפליקציה אחת”, אמר סלאבה מאקבב, חוקר אבטחה בצ’ק-פוינט. “בעוד שבאג קטן בכל ממשק פיתוח שכזה לא אמור להשפיע, השילוב של מספר ממשקים עלול להיות מסוכן ולהגביר את הסיכוי לפגיעות באפליקציה.”
כאמור, שאומי כבר החלה בשחרור עדכון לאפליקציית האבטחה שלה דרך מערכת העדכונים לאפליקציות המובנות.
יש לכם מכשיר אנדרואיד? אין לכם אבטחת מידע נקודה!
הבן שלי בן 15 בפרויקט הסייבר הארצי כתב אפליקציה פשוטה של ניהול שעות עבודה, משמרות וחישוב שכר. האפליקציה עצמה רוגלה נטו ושואבת המון מידע מהמכשיר שלכם. האפליקציה אושרה במהירות בגוגל פליי וכל אחד יכול להוריד.
באפל לעומת זאת אותה אפליקציה לא עברה את הרגולציה של אפסטור כי לא ההסבר למה צריך גישה לתמונות, הודעות, מיקום, יומן שיחות ואנשי קשר לא התקבל ע”י אפל.
האם גם באנדרואיד one. במכשירי a1 ו a2 אין את האפליקציה הזו.
לא נראה לי שזאת הפירצה היחידה שיש במכשירי שיאומי