Os smartphones chegam-nos com cada vez mais capacidades e, por isso, também com algumas vulnerabilidades atreladas, fruto de um número crescente de apps, incluindo pré-instaladas. Com um crescimento enorme nos últimos anos, a Xiaomi é uma marca reconhecida pela qualidade dos seus equipamentos, e tem um histórico de segurança de grandes méritos. No entanto, até recentemente a sua Guard Provider era presa de uma vulnerabilidade que permitia a um atacante ligar-se à mesma rede do smartphone alvo e injectar código, permitindo roubo de dados e passwords.
A descoberta foi da Check Point e serve principalmente como um alerta para as empresas que querem integrar smartphones nas suas frotas e nem sempre têm total consciência das vulnerabilidades desses equipamentos. Alertada pela Check Point, a Xiaomi já corrigiu a vulnerabilidade e é recomendado que todos os utilizadores actualizem a app, se ainda não o fizeram.
Comunicado de imprensa na íntegra:
A equipa de investigação da Check Point® Software Technologies Ltd.(NASDAQ: CHKP), fornecedor global líder em soluções de cibersegurança, descobriu uma vulnerabilidade numa das aplicações pré-instaladas nos dispositivos móveis de um dos maiores fornecedores mundiais, a Xiaomi, a qual conta com uma quota de mercado global de cerca de 8%, registada em 2018, ocupando o terceiro lugar do ranking do mercado mobile. Ironicamente foi a aplicação de segurança pré-instalada nos dispositivos mobile da empresa, o “Guard Provider”, supostamente responsável pela proteção do dispositivo contra malware que expôs o utilizador precisamente a este tipo de ataques.
Por norma, os smartphones são adquiridos pelo utilizador já com aplicações pré-instaladas, algumas das quais bastante úteis, outras que nunca chegam a ser utilizadas. O que o utilizador não espera é que as aplicações pré-instaladas constituam um risco para a sua privacidade e segurança.
Devido à natureza insegura do tráfego da rede de e para o Guard Provider e também ao uso de múltiplos SDKs dentro da mesma aplicação, o agente da ameaça consegue conectar-se à mesma rede Wi-Fi que as vítimas e executar um ataque Man-in-the Middle (MiTM). Em consequência das falhas de comunicação entre os múltiplos SDKs, o cibercriminoso consegue injectar qualquer código nocivo à sua escolha, como é o caso do roubo de password, ransomware, tracking ou qualquer outro tipo de malware.
O Guard Provider, como qualquer outra aplicação pré-instalada, está presente em todos os dispositivos móveis out-of-the-box e não pode ser apagada. A Check Point ao descobrir, cumpriu a sua responsabilidade e reportou esta vulnerabilidade à Xiaomi, que lançou uma correção pouco tempo depois.
2 + 2 nem sempre é 4
Apesar de não ser expectável que os colaboradores do departamento de Segurança de TI dominem os detalhes dos SDKs utilizados para criar as aplicações que os funcionários podem instalar nos seus dispositivos, é importante que estejam cientes dos riscos que algumas aplicações transportam, devido à forma como estas são criadas. A tendência é acreditar que todos os elementos utilizados na criação de aplicações são seguros, como aconteceu com o caso da vulnerabilidade das aplicações pré-instaladas nos dispositivos Xiaomi que, como se pode verificar, estava longe de ser a realidade.
Os programadores e empresas precisam de estar cientes de que ter um elemento de segurança combinado com outro elemento de segurança numa mesma aplicação nos seus telemóveis não significa necessariamente que, quando esses dois elementos são implementados juntos, o dispositivo como um todo esteja seguro.
A única defesa contra este tipo de ameaças escondidas é garantir que toda a frota de dispositivos móveis da sua organização está protegida contra potenciais ataques Man-in-the-Middle. A Check Point dispõe de arquiteturas de segurança, como é o caso do SandBlast Mobile, capaz de detetar e prevenir este tipo de ataques através da eliminação de potenciais ameaças causadas pela utilização de múltiplos SDK dentro da mesma aplicação.
Para aceder ao relatório com os detalhes técnicos de como esta vulnerabilidade atua, visite a Check Point Research.