Conecta con nosotros

Noticias

La interfaz MIUI para Android de Xiaomi no se actualiza de forma segura

Publicado el

La interfaz MIUI para Android de Xiaomi tiene una seria vulnerabilidad

La interfaz MIUI para Android de Xiaomi tiene una seria vulnerabilidad

Recientemente se ha descubierto que un componente de MIUI, la capa de personalización de Android utilizada por el fabricante de smartphones Xiaomi, no utiliza ningún mecanismo de verificación ni de privacidad a la hora de ser actualizado.

Según el equipo de IBM Security Intelligence, los fallos de seguridad se localizan en el componente de analíticas de MIUI, encargado de recolectar datos sobre la forma en que son utilizadas varias de las aplicaciones que se encuentran en los smartphones del fabricante chino. El componente se actualiza a sí mismo, pudiendo ser el proceso secuestrado a través de un ataque man-in-the-middle para enviar actualizaciones maliciosas de los paquetes.

El problema del proceso de actualización se encuentra en que el módulo de analíticas no verifica el paquete descargado en el proceso de actualización, procediendo directamente a su ejecución. Esto da la oportunidad a los atacantes de poder ejecutar código malicioso en Android con altos privilegios sobre el sistema. Sobre cómo se envía el programa malicioso, para realizar la actualización MIUI utiliza HTTP en lugar de HTTPS. Esto significa que un atacante puede ver la petición de actualización, utilizar técnicas básicas de suplantación e interceptar la respuesta legítima para cambiarla por la suya propia.

Esta vulnerabilidad es muy peligrosa, no solo porque permite ejecutar código malicioso con altos privilegios sobre el sistema, sino también por la popularidad de Xiaomi, que lleva tiempo consolidado como el tercer mayor fabricante de smartphones en cuanto a ventas. Estos problemas afectan a la versión de MIUI Global Stable 7.2 y anteriores.

Fuente | Softpedia

Lo más leído