Sicherheitsforscher von IBM haben eine als kritisch eingestufte Schwachstelle in einem Analytics-Paket von MIUI gefunden, der von Xiaomi verwendeten Version von Googles Mobilbetriebssystem Android. Mehrere vorinstallierte Apps, die das Paket enthalten, sind anfällig für Man-in-the-Middle-Angriffe. Sie erlauben das Einschleusen und Ausführen von Schadcode auf Systemebene. Ein Angreifer könnte also aus der Ferne Schadsoftware installieren.

Entdeckt wurde die Anfälligkeit in der MIUI-Version 6.1.8. Zu den anfälligen Apps zählt unter anderem der ab Werk vorinstallierte Browser. Mindestens eine App erfülle dieses Kriterium und habe unter Laborbedingungen eine Remotecodeausführung ermöglicht.

Die Schwachstelle an sich steckt in der Update-Funktion. Sie aktualisiert das Analytics-Paket der fraglichen Apps über eine unsichere Verbindung wie HTTP. Bei einem Man-in-the-Middle-Angriff kann die URL, über die das eigentliche Update heruntergeladen wird, verändert werden, um ein schädliches Installationspaket (APK) einzuschleusen. Da keine kryptografische Echtheitsprüfung der Installationsdatei durchgeführt wird, wird im Rahmen des Updates das Analytics-Paket durch das schädliche Paket ersetzt.

Xiaomi hat die Sicherheitslücke inzwischen geschlossen. Die IBM-Forscher loben in dem Zusammenhang die Zusammenarbeit mit dem chinesischen Unternehmen und seine schnelle Reaktion. Das fehlerbereinigte Update auf die MIUI-Version 7.2 steht bereits zum Download bereit.

(Quelle: www.zdnet.de)

Suchen Sie ein Smartphone mit einem Sicheren Betriebssystem? Hier werden Sie fündig.