Mae Check Point wedi cyhoeddi bod bregusrwydd wedi'i ddarganfod yn y cais Guard Provider ar gyfer ffonau smart Xiaomi. Mae'r diffyg hwn yn caniatáu gosod cod maleisus ar ddyfeisiau heb i'r perchennog sylwi. Mae'n eironig bod y rhaglen i fod i, i'r gwrthwyneb, amddiffyn y ffôn clyfar rhag cymwysiadau peryglus.
Adroddir bod y bregusrwydd yn caniatáu ymosodiad MITM (dyn yn y canol). Mae hyn yn gweithio os yw'r ymosodwr ar yr un rhwydwaith Wi-Fi â'r dioddefwr. Bydd yr ymosodiad yn caniatáu iddo gael mynediad at yr holl ddata a drosglwyddir gan y rhaglen hon neu'r rhaglen honno. Mae hefyd yn caniatáu ichi ychwanegu cod ar gyfer dwyn data, olrhain neu gribddeiliaeth. Bydd glöwr cryptocurrency hefyd yn gweithio.
Mae'r gorfforaeth Tsieineaidd eisoes wedi ymateb ac wedi rhyddhau darn sy'n dileu'r bregusrwydd. Fodd bynnag, mae arbenigwyr Check Point yn credu bod rhai ffonau smart eisoes wedi'u heintio. Wedi'r cyfan, yn 2018 yn unig, gwerthwyd mwy na 4 miliwn o ffonau smart Xiaomi yn Rwsia, ond ni ddarganfuwyd y bwlch ar unwaith.
Ar yr un pryd, nododd pennaeth y ganolfan ar gyfer monitro ac ymateb i ddigwyddiadau diogelwch gwybodaeth yn Jet Infosystems, Alexey Malnev, nad yw'r sefyllfa gyda Xiaomi yn unigryw. Mae perygl tebyg yn bodoli ar gyfer pob ffôn clyfar a thabledi.
“Y risg fwyaf o wendidau o’r fath yw eu dosbarthiad eang oherwydd poblogrwydd dyfeisiau symudol eu hunain. Mae hyn yn ei gwneud hi'n bosibl gweithredu ymosodiadau ar raddfa fawr i ffurfio rhwydweithiau botnet a'u defnydd maleisus dilynol, yn ogystal ag ymosodiadau wedi'u targedu i ddwyn gwybodaeth ac arian gan gleientiaid symudol neu i dreiddio i systemau gwybodaeth corfforaethol, ”esboniodd yr arbenigwr.
A nododd pennaeth yr adran cymorth technegol ar gyfer cynhyrchion a gwasanaethau ESET Rwsia, Sergey Kuznetsov, fod y prif berygl yn gorwedd mewn rhwydweithiau Wi-Fi cyhoeddus a chyhoeddus, gan mai yno y bydd yr ymosodwr a'r dioddefwr yn yr un segment. .
Ffynhonnell: 3dnewyddion.ru