Selv om Xiaomis sikkerhetsapp er ment å beskytte enhetene og brukerdataene sine, avslørte forskere ved sikkerhetsfirmaet Check Point tidligere i dag at appen gjorde det motsatte.

Appen som kalles vaktleverandør, bruker appen antivirusskannere fra Avast, AVL og Tencent for å oppdage potensiell skadelig programvare. Med Android-malware som finner forskjellige måter å komme seg inn på enheten din, er det ikke overraskende å vite at Xiaomi forhåndsinstallerer Guard Provider på alle telefonene.

Imidlertid fant forskere fra Check Point en strålende sikkerhetsfeil med appen - dens oppdateringsmekanisme.

I følge Check Point-forsker Slava Makkaveev får Guard Provider oppdateringer gjennom en usikret HTTP-forbindelse. Det betyr at dårlige skuespillere kan misbruke Avast Update APK og sette inn skadelig programvare gjennom et MITM-angrep, så lenge de var på samme Wi-Fi-nettverk som deres potensielle ofre.

Et eksempel på et MITM-angrep er aktiv avlytting, som innebærer at en angriper oppretter en uavhengig forbindelse med et offer. Offeret mener at de videresender s med en legitim tredjepart, med den virkeligheten at angriperen avskjærer sine og kaster inn nye.

I tillegg til skadelig programvare, sa Makkaveev at angripere også kan bruke MITM-angrep for å injisere løseprogrammer eller sporingsapper. Angripere kan til og med lære filnavnet på oppdateringen for å få programvaren til å se så uskyldig ut som mulig.

Fordi Guard Provider er forhåndsinstallert på Xiaomi-telefoner, har millioner av enheter den samme sikkerhetsfeilen. Den gode nyheten er at Xiaomi er klar over problemet og jobbet med Avast for å fikse det.

nådde ut til Xiaomi for kommentar, men fikk ikke svar innen pressetid.