De Mi 8 van Xiaomi (afb: Xiaomi)

Medewerkers van het webbeveiligingsbedrijf Checkpoint melden dat telefoons van de Chinese fabrikant Xiaomi ‘ingebakken’ veiligheidslekken zouden hebben. Boosdoener is de voorgeïnstalleerde toep Guard Provider. Die toepassing is, hoe ironisch, bedoeld de gebruiker juist te beschermen tegen allerlei ongerief zoals kwaadaardige code.
Guard Provider wordt bijgewerkt via een niet beveiligde HTTP-verbinding, zei Slava Makkaveev van Checkpoint. Als een aanvaller van hetzelfde wifi-netwerk gebruik maakt zou die in principe daar kwaadaardige code of andere narigheid aan kunnen toevoegen via een nep-wifi-verbinding. Het lek is aan de fabrikant gemeld en die zou er zorg voor dragen dat het gedicht wordt.
Xiaomi is bijzonder populair in China en de vierde in grootte over de hele wereld. Het bedrijf zou het vorig jaar bijna 120 miljoen telefoons verkocht hebben. De kwetsbaarheid van telefoons voor onrechtmatige toegang zit ‘m meestal in de toepassingen. Voor een deel zijn die lekke toepassingen vooraf geïnstalleerd op de telefoons.

Openbare wifi vermijden

Gebruikmakend van het lek zou een derde het bijwerken van Guard Porvider kunnen onderbreken en malwaar op je toestel kunnen zetten om, bijvoorbeeld, informatie te stelen of om je toestel te ‘gijzelen’. Xiaomi zou het probleem hebben opgelost, maar als je je zorgen maakt over dergelijke lekken dan doe je er maar het beste aan om openbare wifi-verbindingen te mijden, stelt Checkpoint.

Bron: CNet