Công ty an ninh mạng tìm ra lỗ hổng bảo mật nghiêm trọng trong giao diện MIUI của Xiaomi

Với thị phần chưa đầy 6%, Xiaomi là một trong 5 nhà sản xuất Android hàng đầu thế giới hiện nay với lượng người dùng đông đảo. Tuy nhiên thông tin về việc xuất hiện lỗ hổng bảo mật nghiêm trọng trên MIUI mới đây có thể là đòn giáng mạnh với uy tín của Xiaomi.

Lỗ hổng bảo mật mới nhất của MIUI vừa được một công ty an ninh mạng Ấn Độ có tên eScan Antivirus phát hiện. Lỗ hổng chính xuất phát từ ứng dụng Mi Mover. Đây là ứng dụng cho phép chuyển cài đặt và dữ liệu từ các thiết bị Android khác sang điện thoại của Xiaomi.

Để bảo mật thông tin trước khi chuyển dữ liệu, người dùng được yêu cầu phải cung cấp mật khẩu trước khi kích hoạt Mi Mover.

Tuy nhiên lỗ hổng thực sự đã xuất hiện khi Mi Mover không yêu cầu mật khẩu, bao gồm cả dấu vân tay hay mẫu mở khóa khi thử nghiệm chuyển dữ liệu giữa Mi Max 2 và Redmi 4A.

Vấn đề sẽ thực sự trở nên nghiêm trọng nếu có ai đó ác ý đánh cắp quyền truy cập thiết bị Xiaomi. Họ cũng có thể nhân bản hệ thống và dữ liệu ứng dụng mà không gặp bất kỳ sự cản trở nào. Ngoài ra, các sản phẩm của Xiaomi hiện cũng không tích hợp tính năng bảo vệ hộp cát khá phổ biến. Việc mất thêm một lớp bảo vệ càng khiến thiết bị Xiaomi dễ dàng bị xâm nhập và đánh cắp dữ liệu.

Một lỗ hổng bảo mật đáng chú ý khác trên MIUI chính là tính năng quản trị viên thiết bị. Thông thường, để bảo mật thiết bị, hệ thống đặc biệt là tính năng quản trị viên thiết bị sẽ yêu cầu người dùng xác nhận quyền truy cập quản trị cao nhất cho mỗi ứng dụng cài trong máy. Tính năng này giúp bạn tránh bị kẻ xấu chiếm quyền điều khiển và đánh cắp dữ liệu.

Đặc biệt, tính năng quản trị viên thiết bị thông thường sẽ yêu cầu mật khẩu để thực hiện tiếp tác vụ. Tuy nhiên, lỗ hổng mới nhất cho thấy hệ thống đã không hiển thị yêu cầu mật khẩu khi người dùng gỡ ứng dụng chống trộm Cerberus trên Mi Max 2.

Hiện về phía Xiaomi, hãng đã phản đối thông tin từ phía eScan Antivirus. Hãng công nghệ Trung Quốc này khẳng định, hãng đang thực hiện đầy đủ các bước quy trình bảo vệ thiết bị và tuân thủ chính sách bảo mật nghiêm ngặt. Bên cạnh đó, Xiaomi cũng khuyên người dùng nên sử dụng mã PIN, khóa mẫu hay cảm biến vân tay để giảm thiểu tối đa những rủi ro bảo mật.

Tham khảo AndroidAuthority