חוקרי חברת צ'ק פוינט איתרו חולשת אבטחה משמעותית שיכולה להביא לפריצה לכל מכשיר נייד של חברות XIAOMI, ובאמצעותה להצפין את המידע שעל המכשיר בבקשת כופר, להדביק אותו בנוזקות שמאפשרות לגנוב את המידע האישי שקיים בו או להשתמש במכשיר הנייד ככלי מעקב אחר הבעלים שלו.
החולשה הייתה קיימת בתוך אפליקציית אבטחה שקיימת בכלל מכשירי החברה – Guard Provider – שנועדה להגן על המכשיר מפני וירוסים ונוזקות.
XIAOMI הינה השחקנית השלישית בגודלה בשוק המובייל העולמי ומחזיקה בנתח שוק גלובלי של 8%. בבסיס החולשה שאותרה במכשירים הניידים שלה היתה היכולת להתקין קוד זדוני דרך אפליקציית האבטחה של המכשיר שמשתמשת בפיתוחי תוכנה של צד שלישי (בשיטת תקיפה המוכרת בשם Man In the Middle), בזמן שבו האפליקציה מעדכנת את עצמה אוטומטית ובמצב שבו התוקף משתמש באותה הרשת האלחוטית בה משתמש הבעלים של המכשיר.
כך, לשם המחשה, במידה והתוקף בוחר ביעד שיש בו רשת wifi פופולרית (קניון, נמל תעופה, בית קפה גדול וכיו"ב), התוקף והקורבנות משתמשים באותה רשת אלחוטית ובאמצעות הזרקת הקוד על פלטפורמת פיתוח התוכנה של צד שלישי (SDK) באפליקצית האבטחה שבמכשיר – התוקף מבצע את המתקפה ומסוגל לפגוע בכל בעלי המכשירים הניידים של החברה המשתמשים ברשת האלחוטית מסביבו.
חוקרי צ'ק פוינט עדכנו את חברת XIAOMI בממצאים וזו הביאה לפתרון הבעיה בהקדם. חשוב להדגיש שעדכון האבטחה ששלחה החברה לכלל בעלי המכשירים הניידים הינו אוטומטי ולמעשה לא ניתן לעשות שימוש במתקפה זו כיום –לאחר הגילוי של החולשה ופתירתה.
יונתן שמעונוביץ, מנהל מחלקת מחקר מובייל בצ'ק פוינט: "פריצות למכשירי טלפון ניידים הולכת וצוברת תאוצה ולמרות זאת – 97% מכלל מחזיקי הטלפונים הסלולריים לא משתמשים באפליקציות אבטחה כדי לשמור על כל המידע שנמצא במכשירים שלהם. כאשר חולשת האבטחה מצויה באפליקציות מותקנות מראש על המכשירים מצד הספק – ועוד אפליקציות שנועדו לשמור על המכשיר – מומחשת עוד יותר הסכנה הפוטנציאלית לפריצה אל המכשירים. פתרונות אבטחה למכשירי המובייל - דוגמת SANDBLAST MOBILE -קיימים היום והתקנתם על המכשיר תמנע שימוש בחולשות מעין אלו".