Trots att Xiaomis säkerhetsapp är tänkt att skydda sina enheter och användardata, avslöjade forskare på säkerhetsföretaget Check Point tidigare i dag att appen gjorde motsatsen.
Appen kallas Guard Provider, och appen använder antivirusskannrar från Avast, AVL och Tencent för att upptäcka eventuell skadlig programvara. När Android-skadlig programvara hittar olika sätt att komma in på din enhet är det inte förvånande att veta att Xiaomi förinstallerar Guard Provider på alla sina telefoner.
Men Check Point-forskare fann en bländande säkerhetsfel med appen - dess uppdateringsmekanism.
Enligt Check Point-forskare Slava Makkaveev får Guard Provider uppdateringar via en osäker HTTP-anslutning. Det betyder att dåliga skådespelare kan missbruka Avast Update APK och sätta in skadlig programvara via en MITM-attack (MITM), så länge de var i samma Wi-Fi-nätverk som deras potentiella offer.
Ett exempel på en MITM-attack är aktiv avlyssning, vilket innebär att en angripare skapar en oberoende koppling till ett offer. Offret tror att de vidarebefordrar s till en legitim tredje part, med verkligheten att angriparen avlyssnar deras och kastar in nya.
Utöver skadlig programvara sa Makkaveev att angripare också kan använda MITM-attacker för att injicera ransomware eller spårningsappar. Angripare kan till och med lära sig filnamnet på uppdateringen för att göra deras programvara så oskadlig som möjligt.
Eftersom Guard Provider är förinstallerat på Xiaomi-telefoner har miljontals enheter samma säkerhetsfel. Den goda nyheten är att Xiaomi är medveten om problemet och arbetat med Avast för att fixa det.
nådde ut till Xiaomi för kommentar men fick inte svar inom presstiden.