حيلة رائعة أعلمها لك ، من خلالها يمكن ان تعرف مكان تواجد الاسلاك الكهربائية قبل ثقب الحائط
جدول المحتويات:
- مشكلات الأمان التي تم العثور عليها بواسطة eScan
- GT اختبار ثغرة أمنية أيضًا
- اختبار التطبيقات الأمنية
- مي المحرك اختبار
- ماذا يقول Xiaomi
يشوب عالم الإنترنت سريع النمو العديد من الثغرات الأمنية التي نشأت ، وأصدرت eScan Antivirus في الهند تقريراً يشير إلى وجود ثغرات أمنية متعددة موجودة على أجهزة Xiaomi التي تشغل نظام تشغيل MIUI.
مع حصة السوق البالغة 13 بالمائة ، تعد Xiaomi حاليًا واحدة من العلامات التجارية الرائدة للهواتف الذكية في الهند ، والتي تعد ثاني أكبر سوق للهواتف الذكية في العالم ، بعد الصين مباشرة.
يشير البحث الذي أجراه eScan إلى وجود عيوب متعددة في نظام MIUI OS وهو قادر على تقديم الثغرات الأمنية في تطبيقات المستخدم وكذلك الأمان.
"يشكل تطبيق نظام MIUI الذي يعالج إلغاء تثبيت التطبيقات تهديدًا كبيرًا لتطبيقات الأمان. وقد لوحظ أن هذه التطبيقات وقت إلغاء التثبيت ستطلب كلمة مرور على جميع الأجهزة الأخرى ، على الرغم من أنه في MIUI ، يتم إلغاء تثبيت هذه التطبيقات دون الحاجة إلى كلمة مرور.
هناك عيب أمني مهم آخر لاحظه الباحثون وهو أن تطبيق Mi Mover لا يتطلب كلمة مرور عند نقل البيانات من جهاز إلى آخر.
وأضافوا "من وجهة نظر أمنية ، تشكل عملية إلغاء التثبيت المطبقة في MIUI تهديدًا كبيرًا للأمان نظرًا لتجاوز عملية المصادقة التي ينفذها التطبيق".
مشكلات الأمان التي تم العثور عليها بواسطة eScan
وجد الباحثون في eScan المشكلات التالية مع نظام التشغيل MIUI من Xiaomi.
- يتخطى تطبيق MI-Mover تطبيق رمل تطبيق نظام التشغيل أندرويد
- يمكن إلغاء تثبيت أي تطبيق مسؤول عن الجهاز دون إبطال حقوق مسؤول الجهاز
- يمكن استنساخ Xiaomi مع MI-Mover في بضع دقائق دون الحاجة إلى استئصال الجهاز
- أجهزة MIUI بدلاً من الحذف ، تخفي تطبيق Admin-Profile Admin
- لا يمكن تمييز ملفات تعريف مساحة العمل عن ملف التعريف الشخصي الذي يمثل تحديًا خطيرًا من وجهة نظر الأمان في Enterprise Mobility Management
GT اختبار ثغرة أمنية أيضًا
من بين كل هذه المشكلات ، فإن أكثر المشكلات إلحاحًا وواسعة الانتشار هي نقاط الضعف التي تهاجم تطبيقات الأمان وأخرى متعلقة بـ Mi Mover.
أثناء التحدث إلى GuidingTech ، شدد المتحدث الرسمي باسم Xiaomi باستمرار على حقيقة أن الماسح الضوئي / البصمة / البصمة الخاص بالجهاز هو أول حاجز للدخول غير المرغوب فيه واستغلال أي من نقاط الضعف المذكورة في البحث ، يجب كسر حاجز الأمان هذا.
اختبار التطبيقات الأمنية
أولاً ، قمنا باختبار ثغرة أمنية تنص على أنه يمكن حذف أي تطبيق لديه إذن مسؤول الجهاز دون إبطال تلك الحقوق.
في حد ذاته ، قمنا بتثبيت تطبيق Cerberus Anti-theft على جهاز Xiaomi Mi Max 2 والأجهزة الأخرى غير Xiaomi (لتكون بمثابة عنصر تحكم). عند إزالة تثبيت تطبيق Cerebrus على OnePlus 5 و Samsung Galaxy J7 Max (كلاهما يعمل على Android 7) ، يسأل الهاتف عن كلمة مرور النظام وكذلك كلمة مرور التطبيق Cerberus.
ولكن عندما حاولنا إزالة تثبيت Cerberus من جهاز Mi Max 2 ، تم إلغاء تثبيت التطبيق ببساطة دون طلب أي مدخلات إضافية - قراءة كلمة المرور.
اقرأ أيضًا: 5 محاولات هي كل ما يتطلبه الأمر للقضاء على نمط أندرويد الخاص بكمي المحرك اختبار
في بيانهم إلى GuidingTech ، ذكر المتحدث باسم Xiaomi أن كلمة المرور مطلوبة من أجل استخدام Mi Mover على الجهاز.
لذلك وجدنا جهازي Xiaomi - Mi Max 2 و Redmi 4A - نضع عليهما بصمات الأصابع ونقش الأقفال ونفحص ميزة Mi Mover. لمفاجأتنا (أم لا!) لم يطلب تطبيق Mi Mover أي كلمة مرور على الإطلاق.
لقد سألنا فقط من الذي سيرسل البيانات ومن الذي سيستلمها وما هي بيانات النظام أو التطبيق التي يجب إرسالها. وفويلا! بدأ نقل البيانات دون الحاجة إلى أي إدخال كلمة مرور إما قبل أو بعد الانتهاء من تطبيق Mi Mover نقل البيانات.
تعد مشكلة عدم الحصانة هذه حرجة أيضًا ، حيث يمكن لأي شخص يمكنه الوصول إلى جهاز Xiaomi غير المؤمّن استنساخ جميع محتويات الجهاز بسهولة ، بما في ذلك بيانات النظام والتطبيق في لمح البصر.
تركز Xiaomi على حقيقة أن الطبقة الأمنية الأولى تقفل الهاتف ولكن حتى على هاتف غير مقفل ، هناك إرشادات Android الأخرى التي تحتاج إلى وضعها لتجنب أي ضرر - مثل كلمات المرور 2FA والتطبيقات الخاصة.
ماذا يقول Xiaomi
هنا البيان الكامل ل Xiaomi:
شارك Escan في وقت سابق اليوم تقريرًا يسرد القليل من المخاوف في MIUI. نحن نختلف بشدة مع مزاعم Escan في تقريرهم. كشركة عالمية للإنترنت ، تتخذ Xiaomi جميع الخطوات الممكنة لضمان التزام أجهزتنا وخدماتنا بسياسة الخصوصية الخاصة بنا.
أي مرتكب له حق الوصول الفعلي إلى هاتف غير مؤمّن قادر على القيام بنشاط ضار وهاتف مقفل يكون عرضةً لخطر سرقة بيانات المستخدم.
لهذا السبب ، نحن في Xiaomi نشجع مستخدمينا على أن يكونوا أكثر وعيا بحماية بياناتهم الخاصة باستخدام PIN أو أقفال Pattern أو مستشعر بصمة الأصابع الموجود على معظم هواتفنا الذكية. في الواقع ، يعد مطالبة المستخدمين بتمكين قفل بصمات الأصابع خطوة قياسية عند إعداد هاتف Xiaomi الذكي للاستخدام الأول.
تم تصميم Mi Mover ليكون أداة مناسبة لمستخدمينا لنقل بياناتهم من هاتف ذكي قديم إلى هاتف جديد. لكي يبدأ Mi Mover هذه العملية ، يلزم توفر كلمة مرور.
الأهم من ذلك ، من أجل استخدام Mi Mover ، يجب إلغاء قفل الهاتف الذكي.
وبالتالي ، هناك طبقتان من الحماية لقفل هاتف المستخدم وكلمة مرور Mi Mover الضرورية.
الأمان ، الأمان ، المزيد من الأمان
تهيمن الأخبار الأمنية هذا الأسبوع ، وستكون الحالة كذلك بدون شك الأسبوع المقبل أيضًا ، مع Black Hat و Defcon ...
الباحث: عيب تويتر أعطى تطبيقات طرف ثالث الوصول غير المصرح به إلى الرسائل الخاصة
المستخدمين الذين قاموا بتسجيل الدخول إلى شبكة طرف ثالث أو تطبيقات الهاتف المحمول التي تستخدم حساباتهم على تويتر قد تعطي هذه التطبيقات حق الوصول إلى رسائلهم "المباشرة" الخاصة بتويتر دون معرفة ذلك ، وفقا لسيزار سيرودو ، كبير مسؤولي التقنية في شركة الاستشارات الأمنية IOActive.
تهديد أمني خطير جعل جوجل يزيل أكثر من 500 متجر تطبيقات
تم اكتشاف ثغرة خلفية في أكثر من 500 تطبيق Android على متجر Google Play والتي يمكن أن تتجسس على جهاز المستخدم. تمت إزالة التطبيقات.