Naar content
Trending apps
  • Inbox by Gmail

  • Maps: Navigatie en OV

  • WhatsApp Messenger

  • Messenger

  • Facebook

Trending games
  • Dr. Mario World

  • Harry Potter: Wizards Unite

  • Breaking Bad: Criminal Elements

  • The Elder Scrolls: Blades

  • Ghostbusters World

Trending smartphones
  • Microsoft Surface Duo

  • OnePlus 7T Pro

  • Nokia 7.2

  • Xiaomi Mi 9T Pro

  • Samsung Galaxy Note 10 Plus

Nieuwste tablets
  • Samsung Galaxy Tab S6

  • Samsung Galaxy Tab A 10.5

  • Samsung Galaxy Tab S4

  • Samsung Galaxy Tab S3 9.7

  • Asus Zenpad 3S 10

App staat voorgeïnstalleerd

Lek ontdekt op Xiaomi-telefoons in beveiligings-app 'Guard Provider'

· 06 april 2019

Een onderzoeksteam heeft een beveiligingslek ontdekt in een voorgeïnstalleerde app op Xiaomi-telefoons. Het Chinese bedrijft heeft het probleem ondertussen verholpen met een patch.

Kwetsbaarheid Xiaomi

Het Belgische onderzoeksteam Check Point heeft een probleem ontdekt op telefoons van Xiaomi. Het gaat om de beveiligings-app 'Guard Provider' die standaard op telefoons van het Chinese merk staat voorgeïnstalleerd en niet kan worden verwijderd. Het probleem zat hem in verschillende zaken rond de applicatie. Enerzijds was het netwerkverkeer van en naar de app niet beveiligd, maar ook de combinatie van Software Development Kits (SDK's) die door de ontwikkelaars werden gebruikt, zorgden ook voor een lek in de beveiliging.

Check Point stelt dat een aanvaller zich kon verbinden met hetzelfde netwerk als het slachtoffer om vervolgens een zogenaamde 'Man-in-the-Middle' (MitM)-aanval uit te voeren. Dankzij gaten in de communicatie tussen de verschillende SDK’s, kan een aanvaller  zo een kwaadaardige code te activeren op het apparaat van het slachtoffer. Kwaadwilligen kunnen de kwetsbaarheid misbruiken om bijvoorbeeld malware op een telefoon te installeren of wachtwoorden kunnen worden onderschept.

Screenshots van Xiaomi's beveiliging-app

De beveiligings-app op de Xiaomi Mi 9

'SDK-moeheid'

Inmiddels werd de mogelijke bedreiging verholpen. "Vooraf geïnstalleerde applicaties zoals 'Guard Provider' staan standaard op alle mobiele toestellen en kunnen niet worden verwijderd", dat legt Hans van den Boomen uit, SE manager bij Check Point. "Daarom stelde CheckPoint fabrikant Xiaomi op de hoogte van het probleem, waarvoor inmiddels een patch is uitgestuurd."

SDK's zijn een handig hulpmiddel om een applicatie te bouwen met minder moeite, maar het komt steeds vaker voor dat ontwikkelaars een combinatie van verschillende SDK's gebruiken en daarbovenop eigen code toevoegen, waardoor het  moeilijker wordt om de app te onderhouden en te beveiligen. Dat fenomeen wordt door ontwikkelaars 'SDK Fatigue' genoemd, of 'SDK-moeheid'. 

De nieuwste artikelen over Xiaomi Mi 9

Xiaomi Mi 9T Pro versus Xiaomi Mi 9: de nieuwe Pocophone is hier, en beter

Koopgids: 5 high-end smartphones die minder dan 500 euro kosten (juli 2019)

Koopgids: 5 high-end smartphones die minder dan 500 euro kosten (juni 2019)

Deze Xiaomi-toestellen krijgen de update naar Android Q en MIUI 11

Deze Android-smartphones doen mee aan het Android Q-bètaprogramma

Spelfouten, taalfouten of inhoudelijke fouten ontdekt? Stuur dan een mailtje naar de auteur van dit artikel!

Reacties (24)
Bezig met laden van reacties...