Selvom Xiaomis sikkerhedsapp er beregnet til at beskytte dens enheder og brugerdata, afslørede forskere ved sikkerhedsfirmaet Check Point tidligere i dag, at appen gjorde det modsatte.

Appen, der kaldes Guard Provider, bruger appen antivirusscannere fra Avast, AVL og Tencent til at registrere potentiel malware. Når Android-malware finder forskellige måder at komme ind på din enhed er det ikke overraskende at vide, at Xiaomi forhåndsinstallerer Guard Provider på alle sine telefoner.

Imidlertid fandt forskere i Check Point en blændende sikkerhedsfejl med appen - dens opdateringsmekanisme.

Ifølge Check Point-forsker Slava Makkaveev modtager Guard Provider opdateringer via en usikret HTTP-forbindelse. Det betyder, at dårlige skuespillere kunne misbruge Avast Update APK og indsætte malware gennem et MITM-angreb, så længe de var på det samme Wi-Fi-netværk som deres potentielle ofre.

Et eksempel på et MITM-angreb er aktiv aflytning, som involverer en angriber, der opretter en uafhængig forbindelse med et offer. Offeret mener, at de videresender s med en legitim tredjepart, idet virkeligheden er, at angriberen opfanger deres s og kaster nye.

Ud over malware sagde Makkaveev, at angribere også kan bruge MITM-angreb til at injicere løseprogram eller spore apps. Angribere kan endda lære filnavnet på opdateringen for at få deres software til at se så uskadelig ud som muligt.

Da Guard Provider er forudinstalleret på Xiaomi-telefoner, har millioner af enheder den samme sikkerhedsfejl. Den gode nyhed er, at Xiaomi er opmærksom på problemet og samarbejdet med Avast for at løse det.

rakte Xiaomi til kommentar, men modtog ikke svar inden pressetid.