Todos reconhecem o excelente trabalho feito pela Xiaomi na sua interface MIUI. Com atualizações frequentes, esta procura sempre trazer as últimas novidades e funcionalidades.
Mas a MIUI não está isenta de problemas e uma empresa de segurança detetou falhas graves nesta interface, que podem colocar em causa os dados dos utilizadores e até os próprios smartphones.
Quem descobriu estas falhas foi a empresa de segurança Escan, que numa sua publicação detalha todos os problemas encontrados na MIUI. São falhas graves e que a Xiaomi deverá corrigir em breve, sob pena de ter os seus utilizadores e os seus dispositivos vulneráveis a roubo de dados e até dos próprios equipamentos.
Uma das falhas mais graves está na aplicação MI-Mover. Esta é dedicada a copiar e migrar dados entre um dispositivo Android e um smartphone Xiaomi. Sendo uma função normal, não seria esperado qualquer problema. A verdade é que quando a MI-Mover é usada entre dois smartphones Xiaomi esta copia mais dados do que os esperados, trazendo informação sensível e confidencial.
Isto na prática pode levar ao roubo de dados caso um atacante tenha acesso físico ao smartphone, copiando assim para si toda a informação da vítima. O Android tem mecanismos de sandbox para isolar as aplicações e os seus dados, mas a MIUI parece contornar este mecanismo de segurança.
Uma segunda falha grave está na forma como a MIUI trata as aplicações com permissões de administrador no Android. Por norma, estas têm acesso a zonas sensíveis do sistema operativo e por isso requerem que seja introduzido um PIN ou uma palavra-passe para serem removidas.
O que pode ser visto na MIUI é que estas aplicações podem ser removidas sem qualquer autenticação. Isto pode levar a algo tão simples como a remoção do Device Manager do Android ou outra qualquer aplicação anti-roubo.
Há vários outros problemas reportados, como a app Work-Profile Admin que apenas é escondida quando é desinstalada e os espaços dos perfis profissionais que não conseguem ser diferenciados dos pessoais.
A verdade é que estas falhas requerem o acesso físico a um smartphone Xiaomi que não tenha palavra-passe ativa para serem exploradas, mas isso não as torna menos graves. A Xiaomi já reagiu e aconselha os utilizadores protegerem os seus dispositivos com uma simples password.
Não foi adiantado pela Xiaomi se iria tratar destes problemas no imediato, mas espera-se que a MIUI 9, a ser lançada brevemente, corrija todas estas falhas.
Fonte eScan