मिगुई में मिली बड़ी सुरक्षा खामी: थर्ड पार्टी सिक्योरिटी ऐप्स हो सकते हैं…

इंटरनेट की तेजी से बढ़ती दुनिया का विस्तार कई सुरक्षा कमजोरियों से होता है और भारत स्थित eScan Antivirus ने MIUI ऑपरेटिंग सिस्टम पर चलने वाले Xiaomi उपकरणों पर मिली कई सुरक्षा खामियों का सुझाव देते हुए एक रिपोर्ट जारी की है।

13 प्रतिशत बाजार हिस्सेदारी के साथ, Xiaomi वर्तमान में भारत में अग्रणी स्मार्टफोन ब्रांडों में से एक है, जो चीन के बाद दुनिया में दूसरा सबसे बड़ा स्मार्टफोन बाजार है।

EScan द्वारा किए गए शोध में MIUI OS में कई खामियां बताई गई हैं, जो एंड-यूज़र के साथ-साथ सिक्योरिटी ऐप में भी कमज़ोरी लाने में सक्षम है।

“MIUI का सिस्टम ऐप, जो ऐप्स की अन-इंस्टॉलेशन को हैंडल करता है, सिक्योरिटी ऐप्स के लिए एक महत्वपूर्ण खतरा है। यह देखा गया है कि अन-इंस्टॉल के समय ये ऐप अन्य सभी डिवाइसों पर पासवर्ड मांगता है, हालाँकि MIUI पर, ये ऐप पासवर्ड की आवश्यकता के बिना अन-इंस्टॉल हो जाते हैं, “शोधकर्ताओं ने उल्लेख किया।

शोधकर्ताओं द्वारा एक और महत्वपूर्ण सुरक्षा दोष यह बताया गया कि एक डिवाइस से दूसरे डिवाइस में डेटा ट्रांसफर करते समय Mi Mover ऐप को पासवर्ड की आवश्यकता नहीं होती है।

उन्होंने कहा, "सुरक्षा के दृष्टिकोण से, MIUI में लागू अन-इंस्टॉल की प्रक्रिया एक महत्वपूर्ण सुरक्षा खतरा है क्योंकि ऐप द्वारा लागू की गई प्रमाणीकरण प्रक्रिया बाईपास हो जाती है, " उन्होंने कहा।

सुरक्षा मुद्दों को eScan द्वारा पाया गया

EScan के शोधकर्ताओं ने Xiaomi के MIUI ऑपरेटिंग सिस्टम के साथ निम्नलिखित मुद्दों को पाया।

• एमआई-मूवर ऐप एंड्रॉइड ओएस के एप्लिकेशन सैंडबॉक्स को ओवरराइड करता है
• किसी भी डिवाइस-व्यवस्थापक ऐप को उसके डिवाइस-व्यवस्थापक अधिकारों को रद्द किए बिना अनइंस्टॉल किया जा सकता है
• MI-Mover वाले Xiaomi को डिवाइस को रूट किए बिना कुछ ही मिनटों में क्लोन किया जा सकता है
• MIUI डिवाइस डिलीट करने के बजाय, वर्क-प्रोफाइल एडमिन ऐप को छुपाता है
• एंटरप्राइज़ मोबिलिटी प्रबंधन में सुरक्षा के दृष्टिकोण से एक गंभीर चुनौती पेश करने वाले व्यक्तिगत प्रोफ़ाइल से कार्यक्षेत्र प्रोफाइल को अलग नहीं किया जा सकता है

जीटी ने सुरक्षा भेद्यता का परीक्षण भी किया

इन सभी मुद्दों में से, सबसे अधिक दबाव और व्यापक मुद्दे सुरक्षा ऐप पर हमला करने वाली कमजोरियां हैं और Mi Mover से संबंधित एक अन्य है।

गाइडिंगटेक से बात करते हुए, Xiaomi के प्रवक्ता ने लगातार इस तथ्य पर जोर दिया कि डिवाइस का पिन / पैटर्न / फिंगरप्रिंट स्कैनर अवांछित प्रविष्टि का पहला अवरोध है और अनुसंधान में उल्लिखित किसी भी कमजोरियों का फायदा उठाने के लिए, इस सुरक्षा अवरोध को तोड़ना होगा।

सुरक्षा ऐप टेस्ट

सबसे पहले, हमने सुरक्षा भेद्यता का परीक्षण किया, जिसमें कहा गया है कि किसी भी ऐप में जो डिवाइस प्रशासक की अनुमति है, उन अधिकारों को रद्द किए बिना हटाया जा सकता है।

प्रति से अधिक, हमने अपने Xiaomi Mi Max 2 डिवाइस और गैर-ज़ियाओमी डिवाइस (नियंत्रण के रूप में कार्य करने के लिए) पर Cerberus एंटी-चोरी ऐप स्थापित किया। वनप्लस 5 और सैमसंग गैलेक्सी जे 7 मैक्स (दोनों एंड्रॉइड 7 पर चलने वाले) डिवाइस पर सेरेब्रस ऐप को अनइंस्टॉल करते समय, फोन सिस्टम पासवर्ड के साथ-साथ सेर्बस ऐप पासवर्ड भी मांगता है।

लेकिन जब हमने Mi Max 2 डिवाइस से Cerberus को अनइंस्टॉल करने की कोशिश की, तो ऐप को बिना किसी अतिरिक्त जानकारी के - बिना पासवर्ड पढ़े ही अनइंस्टॉल कर दिया गया।

Also Read: 5 प्रयास है यह सब आपके Android पैटर्न लॉक को क्रैक करने के लिए

एमआई मूवर टेस्ट

गाइडिंगटेक को दिए अपने बयान में, Xiaomi के प्रवक्ता ने उल्लेख किया कि डिवाइस पर Mi Mover का उपयोग करने के लिए एक पासवर्ड आवश्यक है।

इसलिए हमें दो Xiaomi डिवाइस - Mi Max 2 और Redmi 4A मिले, उन पर फिंगरप्रिंट और पैटर्न लॉक लगाए और Mi Mover फ़ीचर को चेक किया। हमारे आश्चर्य (या नहीं!) के लिए Mi Mover ऐप ने कोई भी पासवर्ड नहीं मांगा।

इसने हमसे पूछा कि डेटा भेजने वाला कौन है, इसे प्राप्त करने वाला कौन है और सभी सिस्टम या ऐप डेटा को भेजने की आवश्यकता है। और वोइला! Mi Mover ऐप के डेटा ट्रांसफर करने से पहले या बाद में किसी भी पासवर्ड इनपुट की आवश्यकता के बिना डेटा ट्रांसफर शुरू हुआ।

यह भेद्यता बहुत महत्वपूर्ण है क्योंकि जो कोई भी आपके अनलॉक किए गए Xiaomi डिवाइस तक पहुंच प्राप्त करता है, वह आसानी से डिवाइस की सभी सामग्री को क्लोन कर सकता है, जिसमें सिस्टम और ऐप डेटा एक पल में शामिल हैं।

Xiaomi इस तथ्य पर ध्यान केंद्रित कर रहा है कि पहली सुरक्षा परत फोन को लॉक कर रही है, लेकिन यहां तक ​​कि एक अनलॉक किए गए फोन पर, अन्य एंड्रॉइड दिशानिर्देश हैं जिन्हें आगे के नुकसान से बचने के लिए रखा जाना चाहिए - ऐसे 2FA और ऐप-विशिष्ट पासवर्ड।

क्या कहता है Xiaomi

यहाँ Xiaomi का पूरा बयान है:

एस्कॉन ने पहले आज एक रिपोर्ट साझा की जो एमआईयूआई में कुछ चिंताओं को सूचीबद्ध करती है। हम अपनी रिपोर्ट में एस्कॉन द्वारा लगाए गए आरोपों से दृढ़ता से असहमत हैं। एक वैश्विक इंटरनेट कंपनी के रूप में, Xiaomi हमारी गोपनीयता नीति का पालन करने के लिए हमारे उपकरणों और सेवाओं को सुनिश्चित करने के लिए सभी संभव कदम उठाता है।

कोई भी अपराधी जो एक अनलॉक फोन के लिए भौतिक पहुँच प्राप्त करता है, दुर्भावनापूर्ण गतिविधि करने में सक्षम होता है और एक अनलॉक किया गया फ़ोन उपयोगकर्ता के डेटा चोरी होने का बहुत जोखिम होता है।

यही कारण है कि, हम Xiaomi अपने उपयोगकर्ताओं को अपने अधिकांश स्मार्टफ़ोन पर उपलब्ध पिन, पैटर्न लॉक या ऑनबोर्ड फिंगरप्रिंट सेंसर का उपयोग करके अपने निजी डेटा की सुरक्षा के बारे में अधिक जागरूक होने के लिए प्रोत्साहित करते हैं। वास्तव में, पहले उपयोग के लिए Xiaomi स्मार्टफोन स्थापित करते समय उपयोगकर्ताओं को फिंगरप्रिंट लॉक सक्षम करने का संकेत देना एक मानक कदम है।

Mi Mover को हमारे उपयोगकर्ताओं को एक पुराने स्मार्टफोन से एक नए फोन पर अपना डेटा स्थानांतरित करने के लिए एक सुविधाजनक उपकरण के रूप में डिज़ाइन किया गया है। इस प्रक्रिया को आरंभ करने के लिए Mi Mover के लिए एक पासवर्ड की आवश्यकता होती है।

अधिक महत्वपूर्ण बात, Mi Mover का उपयोग करने के लिए, स्मार्टफोन को अनलॉक करना होगा।

इस प्रकार, उपयोगकर्ता के लिए सुरक्षा की दो परतें हैं - फोन लॉक और एक Mi मूवर पासवर्ड जो आवश्यक हैं।