Acorde a expertos del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS) reportan que la compañía Xiaomi ha corregido una vulnerabilidad de seguridad en Guard Provider, la app de seguridad preinstalada en sus modelos más recientes de smartphones.
Acorde a los reportes, esta vulnerabilidad habría permitido a los actores de amenazas inyectar enviar tráfico hacia Guard Provider, ejecutando código arbitrario para tomar control del dispositivo, instalar malware o robar información confidencial de la víctima.
Los especialistas del curso de ethical hacking mencionaron que la vulnerabilidad se debe a una falla en el diseño de la aplicación de Xiaomi. Guard Provider incluye tres antivirus diferentes para su funcionamiento: Avast, AVL y Tencent. Los tres antivirus, así como la propia aplicación, vienen con diferentes bibliotecas de codificación (SDK) que cada uno utiliza para impulsar diferentes funciones.
Acorde a los especialistas del curso de ethical hacking, las interaccions entre Avast SDK y AVL SDK ha expuesto una manera de ejecutar código en un smartphone Xiaomi. La vulnerabilidad podría haber tenido un impacto reducido, pero debido a que el tráfico que entra y sale de Xiaomi Guard Provider no está cifrado, un actor de amenazas capaz de comprometer el tráfico web de la víctima podría haber tomado el control sobre un dispositivo.
Especialistas en ciberseguridad consideran que esta clase de vulnerabilidades exponen lo peligrosa que la práctica de utilizar más de un SDK para una sola aplicación. “Las fallas menores en cada SDK pueden tratarse de manera independiente, no obstante, cuando se implementan múltiples SDK en una misma aplicación, es altamente probable que se generen vulnerabilidades críticas”, mencionaron los expertos.
Esta vulnerabilidad debería causar preocupación entre los usuarios de dispositivos inteligentes. Un estudio realizado recientemente descubrió que, en promedio, una aplicación para Android cuenta con 18 SDK diferentes. Un número tan alto de SDKs interactuando entre sí en el código de una aplicación podría generar serias vulnerabilidades de seguridad sin que los desarrolladores puedan siquiera detectarlas.
Asimismo, este estudio ha evidenciado las carencias de seguridad y privacidad que abundan en las aplicaciones preinstaladas de los dispositivos inteligentes pues, en la mayoría de las ocasiones, éstas contienen fallas de seguridad, malware o cuentan con permisos demasiado invasivos para acceder a la actividad del usuario.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
