Xiaomi MIUI vulnerabile ad attacchi su reti Wi-Fi gratuite

Una vulnerabilità della ROM open source consente di avviare l’esecuzione di codice in remoto attraverso un attacco “Man in the Middle”. Xiaomi ha già reso disponibile l’aggiornamento che “tappa” la falla.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Più di 140 milioni di dispositivi mobili con MIUI, l'interfaccia Android degli smartphone Xiaomi, sono vulnerabili a un attacco Man in the Middle che permetterebbe a un pirata informatico di eseguire codice sullo smartphone con privilegi di amministratore.

Stando a quanto riporta l’analisi effettuata dal team di ricercatori X-Force di IBM, la vulnerabilità interessa tutti i dispositivi con installate versioni di MIUI precedenti alla 7.2.

MIUI è una ROM Open Source sviluppata dal produttore Xiaomi e basata su Android. La sua diffusione, però, va oltre quella dei dispositivi del produttore cinese. Molti utenti, infatti, la utilizzano su dispositivi di altre marche.

schermata
Si stima che i dispositivi su cui gira Miui siano più di 140 milioni.

La falla, scoperta lo scorso gennaio ma resa pubblica solo ora, riguarda il sistema di aggiornamento di alcune applicazioni integrate. Le app, infatti, sono programmate per controllare periodicamente la presenza di aggiornamenti. Per farlo, contattano un server Web e confrontano la versione del software proposto con quella attuale.

Se risulta disponibile un aggiornamento, il file viene scaricato ed eseguito con lo stesso livello di privilegi dell’app che procede all’aggiornamento. Un pirata informatico connesso alla stessa rete wi-fi del dispositivo che va a cercare degli aggiornamenti potrebbe "ingannare" una delle applicazioni per fare in modo che avvii una qualsiasi applicazione con elevati privilegi. I ricercatori IBM hanno individuato almeno 4 applicazioni vulnerabili a questo tipo di attacco.

Xiaomi ha risolto il problema con la versione 7.2 del firmware, che ha eliminato la vulnerabilità. Nel loro report, però, i ricercatori IBM segnalano la necessità che tutti i produttori adottino delle policy più stringenti per i loro software, in particolare prevedendo un sistema di certificazione digitale che consenta di mitigare il rischio.