Miljoenen smartphones van fabrikant Xiaomi waren kwetsbaar voor allerlei aanvallen door een ernstig lek in de standaard geïnstalleerde beveiligingsapp. De kwetsbaarheid was aanwezig in Guard Provider, een app die standaard met de telefoons van het bedrijf wordt meegeleverd.

De beveiligingsapp moet gebruikers tegen malware beschermen, maar stelde ze juist bloot aan allerlei dreigingen. De app maakt gebruik van drie verschillende antivirusoplossingen (Avast, AVL en Tencent) waar gebruikers uit kunnen kiezen. Een probleem met de ene oplossing kan echter de bescherming van de andere twee oplossingen ondermijnen, zo ontdekten onderzoekers van securitybedrijf Check Point.

Zowel de antivirusoplossingen van Avast en AVL bleken updates via het onversleutelde http te downloaden. Daarnaast bevatte de AVL-app een andere kwetsbaarheid waardoor het mogelijk was om een kwaadaardig bestand via de virusscanner uit te laten voeren. Een aanvaller zou zo de virusscanner kunnen uitschakelen, kwaadaardige code kunnen injecteren om gegevens te stelen en ransomware of andere malware installeren.

"De aanval laat ook het gevaar zien om verschillende programma's binnen één app te gebruiken. Kleine bugs in het ene programma zijn vaak losse problemen, maar als meerdere programma's binnen dezelfde app worden geïmplementeerd is het waarschijnlijk dat ernstige kwetsbaarheden niet ver weg zijn", aldus Slava Makkaveev van Check Point. Het securitybedrijf waarschuwde Xiaomi, dat inmiddels een beveiligingsupdate heeft uitgerold.