Nieuws
image

Miljoenen Xiaomi-toestellen kwetsbaar door update-lek

donderdag 7 juli 2016, 16:57 door Redactie, 4 reacties

Onderzoekers van IBM hebben een ernstige kwetsbaarheid in miljoenen smartphones van fabrikant Xiaomi ontdekt waardoor een aanvaller die zich tussen de gebruiker en het internet bevindt de smartphone kan overnemen. Een onderdeel van het besturingssysteem dat voor analytics wordt gebruikt controleert regelmatig of er nieuwe updates beschikbaar zijn. Dit gebeurt echter op onveilige wijze.

Een aanvaller die het updateverzoek kan afvangen en manipuleren kan zo een kwaadaardige update aanbieden, die vervolgens door het besturingssysteem wordt geïnstalleerd. Dit is mogelijk doordat de updatetransactie via een http-link plaatsvindt. Daarnaast is er geen cryptografische verificatie van de update. Het analytics-onderdeel zal zich dan ook vervangen door een versie van de aanvaller.

Volgens de onderzoekers gaat het om een terugkerend probleem waarbij fabrikanten een onveilig updateproces implementeren. IBM adviseert dan ook het downloaden van updates via tls-encryptie en het cryptografisch controleren van aangeboden updates voordat die worden uitgevoerd. Xiaomi heeft inmiddels een update (MIUI Global Stable versie 7.2) voor de kwetsbaarheid uitgebracht en gebruikers krijgen het advies die te installeren. De fabrikant leverde vorig jaar meer dan 70 miljoen toestellen en volgens IBM zijn er daarvan miljoenen kwetsbaar.

Reacties (4)
07-07-2016, 17:11 door Anoniem
Aantal kwetsbare devices zal wel mee vallen, want in tegenstelling tot andere fabrikanten blijft Xiaomi zijn oudere devices ook van wekelijkse(!) updates voorzien, waaronder beveiligingsupdates.
07-07-2016, 23:52 door Anoniem
Oh het probleem zit in de Global rom? In dat geval zal het aantal mogelijke kandidaten beperkt blijven. De Europese variant van Miui's rom is: stabieler, betere GPS ondersteuning, betere vertalingen en kan wekelijks handmatig worden gedownload via xiaomi.eu.
Als deze mensen wekelijks updaten, dan zijn zelfs de Android patches up-to-date, zelfs voor de oeroude Mi2.

=Kiswum=
10-07-2016, 16:26 door Anoniem
Door Anoniem: Oh het probleem zit in de Global rom? In dat geval zal het aantal mogelijke kandidaten beperkt blijven. De Europese variant van Miui's rom is: stabieler, betere GPS ondersteuning, betere vertalingen en kan wekelijks handmatig worden gedownload via xiaomi.eu.
Als deze mensen wekelijks updaten, dan zijn zelfs de Android patches up-to-date, zelfs voor de oeroude Mi2.

=Kiswum=

Global rom is niet de Xiaomi.eu rom, dat zou jij toch moeten weten...
Verder is die xiaomi.eu rom gebaseerd op de China rom, ik denk dat voor deze kwetsbaarheid het voor MIUI in het algemeen gaat en niet zozeer Global/China/Xiaomi.eu. Maar in versie 7.2 van de Global al verholpen en China/Xiaomi.eu loopt voor op Global dus de impact valt wel mee.
12-07-2016, 09:45 door Anoniem
Klopt, de Xiaomi.eu rom heeft weinig te maken met de Global rom van en.miui.com. Wellicht is Xiaomi geinspireerd geraakt door het succes van deze fans. Doordat die roms over het algemeen beter werken in Europa, dan de originele varianten, is de kans groot dat Global hier niet heel erg populair is.

De impact valt dus denk ik wel mee in Europa. Het originele artikel spreekt over problemen in de Global rom. De Chinese rom (stable en developer versies), lijken geen problemen te hebben of het was al gerepareerd voordat het werd onderzocht. De Global rom loopt inderdaad achter op de Chinees / Engelstalige rom's van Xiaomi.

=Kiswum=
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure