Quando compramos um smartphone a coisa que menos pensamos é que ele pode estar vulnerável e que o utilizador pode ter os dados em perigo. Especialmente quando se tratam de equipamentos de marcas conceituadas como a Xiaomi! No entanto, a empresa de segurança Check Point descobriu que isto pode não ser bem assim. Uma vulnerabilidade que pode permitir ataques man-in-the-middle e a injeção de código malicioso foi encontrada numa aplicação pré-instalada em dispositivos deste fabricante.
Ter os dados em perigo é a última coisa que o utilizador de um smartphone quer
A falha, descoberta por pesquisadores da Check Point, é – de certa forma irónica. Isto porque ela está presente na aplicação de segurança que vem pré-instalada e chamada “Guard Provider”. Na prática protege o smartphone de malware. No entanto, não devia era abrir outras portas.
Devido à natureza insegura do tráfego de rede que chega e sai para a app Guard Provider e à utilização de vários SDKs na mesma aplicação, um agente que se consiga ligar-se à mesma rede Wi-Fi da vítima e tenha a capacidade de realizar um ataque man-in-the-middle terá a capacidade de injectar código malicioso no dispositivo.
A Check Point divulgou esta vulnerabilidade de forma responsável à Xiaomi, que lançou um patch pouco tempo depois.
Lembramos que a Xiaomi tem cerca de 8% do mercado móvel e a vulnerabilidade pode afetar mais de 150.000 clientes.
Os investigadores apontam que isto assinala um risco com a utilização de SDKs. Dito isto, à medida que mais e mais códigos de terceiros são adicionados a uma aplicação, proteger os dados dos utilizadores e controlar o desempenho é muito mais complicado. Em média, uma única aplicação tem agora mais de 18 SDKs implementados. A questão é que basta um problema com um deles para comprometer os outros. É que todos partilham as mesmas permissões e acesso à app principal.
Entretanto a Xiaomi já resolveu esta falha através de uma correção disponibilizada para todos os equipamentos. Em suma, é por este motivo que deve atualizar o seu smartphone. Se ainda não fez, faça-o agora.
