Una vulnerabilidad en Xiaomi deja expuestos a sus usuarios frente a ataques Man-in-the-Middle
La vulnerabilidad se encuentra en Guard Provider, aplicación de seguridad preinstalada en los dispositivos de la compañía china, y permite al ciberdelincuente instalar malware para robar contraseñas o rastrear el dispositivo.
Investigadores de Check Point Software Technologies, proveedor líder especializado en ciberseguridad a nivel mundial, han descubierto una vulnerabilidad en una de las aplicaciones preinstaladas en los dispositivos de Xiaomi, uno de los mayores proveedores de telefonía móvil del mundo, con casi un 8% de cuota de mercado en 2018. Los investigadores señalan que la vulnerabilidad que dejaba expuestos a los usuarios frente a ataques se encuentra en la aplicación de seguridad “Guard Provider”. Check Point informó a Xiaomi sobre esta vulnerabilidad, que ya ha sido subsanada.
En el caso de esta aplicación, tanto la naturaleza insegura del tráfico de red hacia/desde el proveedor de seguridad, así como el uso de múltiples SDKs, permiten a los cibercriminales conectarse a la misma red Wi-Fi que la víctima. De esta forma podrían llevar a cabo un ataque Man-in-the-Middle (MiTM). Esta variante de ataque permite aprovechar las lagunas de comunicación existentes entre los diversos software que configuran la aplicación, dando la posiblidad al atacante de insertar cualquier tipo de código malicioso de robo de contraseñas, ransomware, rastreo del dispositivo, etc.
Los smartphones suelen incluir aplicaciones preinstaladas, algunas de las cuales son útiles y otras que nunca se utilizan. Además, muchas de estas herramientas no pueden desinstalarse. Sin embargo, lo que ningún usuario espera es que cualquiera de estas herramientas ya instaladas suponga riesgo alguno para su seguridad y la privacidad de sus datos, y mucho menos si la aplicación en cuestión tiene como función dotar de protección al smartphone.
¿Dónde se encuentra la vulnerabilidad?
Los investigadores de Check Point informan que la vulnerabilidad se encuentra en el Kit de Desarrollo de Software (SDK, del inglés Software Development Kit) de la app, un conjunto de herramientas de programación que ayuda a los desarrolladores a crear aplicaciones para una plataforma específica. En el caso de los teléfonos móviles, los SDKs reduce el tiempo de escritura de código y dotan al smartphone de estabilidad de back-end para funcionalidades no relacionadas con el núcleo de su aplicación.
Fatiga del SDK
Debido a que cada vez se incorporan más códigos a este tipo de aplicaciones, mantener su entorno de producción estable, proteger los datos de los usuarios y controlar el rendimiento se vuelve mucho más complicado. Conocido como "Fatiga del SDK", el uso de múltiples SDKs dentro de la misma aplicación hace que sea más susceptible a ataques como virus, malware, violación de la privacidad, así como fallos por agotamiento de la batería, ralentización y otros problemas.
En este sentido, el uso de varios SDK en una misma aplicación da como resultado que todos estos softwares compartan la misma información. Por tanto, si uno de esto programas se ve afectado, la seguridad del resto también se ve comprometida. Además, estos sistemas almacenan información privada pero no de forma independiente, por lo que otros SDK pueden tener acceso a estos datos. De hecho, el uso de múltiples SDKs por aplicación está mucho más extendido de lo que se piensa: según un estudio de SafeDK, se utilizan más de 18 programas de este tipo por cada app. De esta forma, las organizaciones y los usuarios quedan expuestos a peligros que pueden explotarse.
