חברת האבטחה Oversecured המתמחה באבטחה של יישומים לסמארטפונים, פרסמה השבוע בבלוג שלה פוסט ארוך לגבי 20 חולשות אבטחה שונות שהחברה מצאה בטלפונים של שיאומי. החולשות, לפי החוקרים, נמצאו באפליקציות שונות וברחבי מערכת ההפעלה עצמה, ומהוות סיכון למשתמשים.
בעיות האבטחה שנמצאו בסוף אפריל, כללו פעולות שרירותיות, שירותים עם הרשאות ניהול ללא צידוק סביר, אפשרות לגניבת קבצים בעזרת הרשאות ניהול וחשיפה של מידע כמו מספרי אלפון, הגדרות ופרטי חשבון שיאומי לצד חולשות נוספות. החולשות הובאו לידיעת החברה, וזו, כך לפי הפרסום, תיקנה אותם. להלן רשימה מפורטת יותר של החולשות:
בתת מערכת האבטחה ישנה פניה למשתמש לאשר הרשאות, אולם ללא הסבר על הסכנות, והרשאות מוגברות לאפליקציות מבית שיאומי שהוגדרו כ-"אפליקציות מערכת", המאפשרת גישה לפורצים להשתלט על הטלפון.
יישומון ההגדרות של הטלפון מאפשר לקשור שירותים כמו רשת אלחוטית או בלוטות' לאפליקציות, כפתח לתקיפה אפשרית על המכשיר. עוד חשף היישומון מידע על התקני בלוטות', רשתות אלחוטיות מחוברות ואנשי קשר בחירום ופרטי חשבון שיאומי. אפליקציית הבלוטות' של מערכת ההפעלה של שיאומי (שנבנתה על בסיס גירסה פתוחה של אנדרואיד עם שינויים בקוד), עשויה לחשוף מידע ולאפשר לתוקף לגנוב קבצים דרכה.
רשימת חולשות האבטחה הארוכה שמצאו Oversecured מעט מדאיגה, שכן על פניו אלה חולשות שהיו אמורות להיות מאותרות עוד בשלבי הפיתוח, ולא בגירסת מערכת ההפעלה שכבר שוחררה לציבור. כך או כך, אם אתם בעליו של של טלפון שיאומי וקיבלתם מהם בימים האחרונים עדכון אבטחה למערכת ההפעלה - מומלץ להתקינו ללא דיחוי.
דובר מטעם שיאומי הגיב בנושא לאתר The Register שפנה אליהם לתגובה: "הגנה על ביטחון המידע והפרטיות של המשתמשים שלנו היא בעדיפות עליונה. שיאומי תיקנה את כל החולשות שדווחו לה על ידי צוות Oversecured, והבטיחה שאף משתמש לא חשוף לסיכון בגללן. אנחנו תמיד ממליצים למשתמשים לעדכן את המכשירים שלהם לגירסה האחרונה של התוכנה, הכוללת עדכוני אבטחה".