Xiaomi இன் பாதுகாப்பு பயன்பாடு அதன் சாதனங்கள் மற்றும் பயனர் தரவைப் பாதுகாப்பதற்காக இருந்தாலும், பாதுகாப்பு நிறுவனமான செக் பாயிண்டின் ஆராய்ச்சியாளர்கள் இந்த பயன்பாடு இதற்கு நேர்மாறாக செயல்பட்டதை இன்று வெளிப்படுத்தினர்.
காவலர் வழங்குநர் என்று அழைக்கப்படும் இந்த பயன்பாடு, தீம்பொருளைக் கண்டறிய அவாஸ்ட், ஏவிஎல் மற்றும் டென்சென்ட் ஆகியவற்றிலிருந்து வைரஸ் எதிர்ப்பு ஸ்கேனர்களைப் பயன்படுத்துகிறது. Android தீம்பொருள் உங்கள் சாதனத்தைப் பெறுவதற்கு வெவ்வேறு வழிகளைக் கண்டுபிடிப்பதால், ஷியோமி அதன் எல்லா தொலைபேசிகளிலும் காவலர் வழங்குநரை முன்கூட்டியே நிறுவுகிறது என்பதை அறிந்து ஆச்சரியப்படுவதற்கில்லை.
இருப்பினும், செக் பாயிண்ட் ஆராய்ச்சியாளர்கள் பயன்பாட்டில் ஒரு வெளிப்படையான பாதுகாப்பு குறைபாட்டைக் கண்டறிந்தனர் - அதன் புதுப்பிப்பு வழிமுறை.
செக் பாயிண்ட் ஆராய்ச்சியாளர் ஸ்லாவா மக்காவீவின் கூற்றுப்படி, காவலர் வழங்குநர் பாதுகாப்பற்ற HTTP இணைப்பு மூலம் புதுப்பிப்புகளைப் பெறுகிறார். அதாவது மோசமான நடிகர்கள் அவாஸ்ட் அப்டேட் APK ஐ துஷ்பிரயோகம் செய்யலாம் மற்றும் ஒரு மனித-நடுத்தர (MITM) தாக்குதலின் மூலம் தீம்பொருளை செருகலாம், அதே Wi-Fi நெட்வொர்க்கில் அவர்கள் பாதிக்கப்பட்டவர்களாக இருக்கும் வரை.
ஒரு எம்ஐடிஎம் தாக்குதலுக்கான எடுத்துக்காட்டு செயலில் செவிமடுப்பதாகும், இதில் தாக்குபவர் பாதிக்கப்பட்டவருடன் சுயாதீனமான இணைப்பை அமைப்பார். பாதிக்கப்பட்டவர் அவர்கள் முறையான மூன்றாம் தரப்பினருடன் தொடர்பு கொள்கிறார்கள் என்று நம்புகிறார், உண்மையில் தாக்குதல் நடத்துபவர் தங்களைத் தடுத்து புதியவற்றை வீசுகிறார்.
தீம்பொருளைத் தவிர, ransomware அல்லது கண்காணிப்பு பயன்பாடுகளை புகுத்தவும் தாக்குதல் செய்பவர்கள் MITM தாக்குதல்களைப் பயன்படுத்தலாம் என்றும் மக்காவேவ் கூறினார். தாக்குபவர்கள் தங்கள் மென்பொருளை முடிந்தவரை தீங்கற்றதாகக் காண்பிப்பதற்காக புதுப்பிப்பின் கோப்பு பெயரைக் கூட கற்றுக்கொள்ளலாம்.
காவலர் வழங்குநர் Xiaomi தொலைபேசிகளில் முன்பே நிறுவப்பட்டிருப்பதால், மில்லியன் கணக்கான சாதனங்கள் ஒரே பாதுகாப்பு குறைபாட்டைக் கொண்டுள்ளன. நல்ல செய்தி என்னவென்றால், சியோமி இந்த சிக்கலை அறிந்திருக்கிறார் மற்றும் அதை சரிசெய்ய அவாஸ்டுடன் இணைந்து பணியாற்றினார்.
கருத்துக்காக சியோமியை அணுகினார், ஆனால் பத்திரிகை நேரத்தால் பதிலைப் பெறவில்லை.
