Beveiligingsbedrijf vindt kwetsbaarheden in Xiaomi's Beveiliging-app

Beveiligingsbedrijf Check Point heeft kwetsbaarheden gevonden in Xiaomi's Beveiliging-app. Die app heeft de functie om de telefoon te scannen op malware op basis van virusdefinities van drie verschillende leveranciers, maar het checkt die bestanden niet goed genoeg.

De telefoon haalt virusupdates, die in de vorm van apk-bestanden van bijvoorbeeld een server van Avast komen, binnen via een onbeveiligde http-verbinding, claimt Check Point. Daardoor is het mogelijk de exacte naam van de apk te achterhalen. De app checkt wel na het downloaden of de apk echt is.

De aanval gaat daarna verder via een update van de definities van AVL, een zip-bestand waarvan de naam in een .conf-bestand zit dat de telefoon via een onbeveiligde verbinding binnenhaalt. Door een apk-bestand met dezelfde naam als de echte Avast-update daarin mee te sturen via een mitm-aanval, overschrijft de app de echte Avast-apk met een nepversie.

Omdat de Beveiliging-app de apk van Avast al heeft gecheckt na het downloaden, gaat de app ervan uit dat het de goede versie is. Zodra de gebruiker er weer voor kiest om een scan uit te voeren via Avast, gebruikt de Xiaomi-app daardoor de nepversie, die daardoor malware kan installeren op het toestel.

De Beveiliging-app gebruikt voor scans de sdk's van drie verschillende bedrijven, namelijk Avast, AVL en Tencent. De app zit ook op de Nederlandse versie van Xiaomi-telefoons. Omdat het gaat om een heel specifieke aanval, is het onduidelijk of het op grote schaal te misbruiken is; gebruikers moeten de scan gebruiken en bovendien de definities van AVL en Avast activeren. Xiaomi heeft de kwetsbaarheid inmiddels verholpen.

De Beveiliging-app bevat naast virusscans nog veel meer soorten scans en cleaners. De app bevat daarnaast in de Nederlandse versie advertenties. Tweakers publiceerde een preview van de Mi 9 en zal binnenkort een volledige review online zetten.

IT-banen

Reacties (72)

LightPhoenix

Miui

5 april 2019 09:04

Heb even zitten kijken in mijn Pocophone F1 want voor zover ik weet kan ik maar 1 bron voor het scannen aangeven, niet meer tegelijk. Dus of Avast of AVL of Tencent en dat klopt dus. Na het lezen van het bron artikel zie ik hoe het wel zou moeten werken:

Once the attacker starts actively blocking connections to the Avast server, the user would switch the default antivirus to another one – in this scenario, AVL Anti-Virus. Remember, the AVL antivirus SDK is also a built-in part of the Guard Provider app.

Belangrijk is dus dat je als gebruiker eerst moet vaststellen dat er een probleem is met de Avast app en dat er geen definities meer kunnen worden opgehaald. Dan moet de gebruiker handmatig naar een van de andere twee scan engines gaan om die te activeren, waardoor de aanval verder kan. Natuurlijk nog steeds kwalijk dat het mogelijk is, maar blijkbaar is het wel even wat lastiger dan het Tweakers artikel doet lijken.

Kiswum

Xiaomi
Miui

5 april 2019 07:27

Ik heb het bericht gisteren ook gelezen. Het blijkt dat het bericht onderschept kan worden als de aanvaller op hetzelfde netwerk/wifi zit.

Once the attacker starts actively blocking connections to the Avast server, the user would switch the default antivirus to another one

Misschien kan een beveiligsexpert dit bevestigen of ontkrachten.

Het zou inmiddels zijn opgelost, vermoedelijk in de weekly/dev build waarmee ik Xiaomi smartphones ook test.

Check Point responsibly disclosed this vulnerability to Xiaomi, which released a patch shortly after.

Tot die tijd, pas op met openbare wifi punten!

Skywalker27 @Kiswum • 5 april 2019 07:48

Hoezo openbare WIFI punten? ik heb een Pineapple.

[Reactie gewijzigd door Skywalker27 op 22 juli 2024 13:22]

Tomaat @Skywalker27 • 5 april 2019 09:23

Wat bedoel je met deze opmerking?

Room42 @Tomaat • 5 april 2019 09:54

@Skywalker27 verwoordt het slecht, door gebrek aan interpunctie. Hij bedoelt:

Hoezo openbare WIFI-punten? Ik heb een Pineapple.

Een Pineapple is een apparaat waarmee je makkelijk WiFi-verbindingen van zoekende telefoons kunt emuleren. De telefoon denkt dan dat hij met een bekende WiFi verbindt en zal dan al het verkeer via de Pineappel sturen. Zo kun je dus heel makkelijk tussen de telefoon en het internet gaan zitten, zonder dat de telefooneigenaar er iets van merkt. MitM dus

Skywalker27 @Room42 • 5 april 2019 10:01

aangepast

DigitalExorcist @Kiswum • 5 april 2019 07:35

MITM is makkelijker als je in hetzelfde netwerk zit ja.... zeker als het om http-verbindingen gaat. Echt bizar slecht dit.

PageFault @Kiswum • 5 april 2019 08:05

Wie gebruikt nog openbare Wifi? Zelfs bij de meeste klanten waar ik kom, zit ik gewoon op 4G, ik ga echt niet in het gastennetwerk zitten!

En bij de MacDrek of de kroeg om de hoek, hoef ik ook niet op het wifi. Alleen thuis en op kantoor.

lepel @PageFault • 5 april 2019 08:43

Jij niet, ik niet, maar bijv. mijn hele familie wel, ook al raad ik ze dat vaak genoeg af. Moeders heeft maar 500mb dus ja die wilt af en toe ook wat foto’s naar Facebook uploaden als we ergens zijn. Zo zijn er genoeg mensen die toch wel buiten de gevaren om openbare wifi netwerken gebruiken.

Tomaat @lepel • 5 april 2019 09:20

VPN-appje op de telefoon van je moeder installeren

greatkz @Tomaat • 5 april 2019 10:09

Met BLOKKADA bv. kan er al veel voorkomen worden $_/-\o_$

Anoniem: 1128097 @greatkz • 5 april 2019 16:03

Advertenties ja

lepel @Tomaat • 5 april 2019 14:39

Die was laatst al verbolgen dat ze een euro extra moest gaan betalen voor haar sim-online abo. Ik zeg niet dat het het niet waard is, maar voor de gemiddelde gebruiker lijkt zo'n VPN echt niet interessant en veel te technisch om in te stellen. Ik weet dat er aanbieders zijn die praktisch een one-click setup hebben, maar veel mensen snappen niet wat het doet en schrikt het ze daarom al meteen af.

Je hebt natuurlijk gratis VPNs maar dan ben je mogelijk nog erger af dan openbare WiFi netwerken te gebruiken.

GertMenkel @Kiswum • 5 april 2019 09:02

Afhankelijk van hoe Xiaomi zijn infrastructuur regelt kan een aanvaller veel leukere trucjes uithalen met BGP hijacking. Zo kun je mogelijk de iedere Xiaomi-telefoon wereldwijd hacken door een set IP-adressen te hijacken.

Daarbij moet je bedenken dat "hetzelfde netwerk" ook het internationale netwerk van je werkgever kan zijn die voor beveiligingsoverwegingen een (transparante) proxy plaatst waar het verkeer door stroomt. Ook zijn er ISP's in Amerika die HTTP-verkeer onderscheppen en aanpassen om advertenties te laten zien. Een slechte medewerker bij AT&T of Comcast en veel Amerikanen hebben een probleem.

In Nederland heb je Simpel die een HTTP-proxy gebruikt(e) om afbeeldingen te comprimeren. Zelfde verhaal natuurlijk.

Je eigen netwerk beveiligen werkt als je heel goed oplet en als er geen hackers zijn die een grootschalige aanval willen plegen. Gezien de schaal zou ik dit toch wel als een grootschalig beveiligingslek zien. Ik vind het bizar dat Xiaomi dom genoeg is om dit over HTTP te laten verlopen terwijl HTTPS niet of nauwelijks problemen of overhead toevoegt.

mmjjb @GertMenkel • 5 april 2019 13:45

HTTPS schiet ook niet op als je niet het certificaat controleert, daar zijn afgelopen jaren ook genoeg voorbeelden van geweest.

Het probleem is niet dat er HTTP gebruikt wordt, het probleem is voornamelijk dat signature check niet dubbel uitgevoerd werd. Verder hebben Chineze bedrijven een goede reden om op HTTP te blijven draaien, in verband met vertraging in de handshake door de nationale firewall.

Call of Duty @Kiswum • 5 april 2019 11:35

Ze geven aan dat Xiaomi het al uplost heeft, ze hebben een patch released shortly after. Maar ik vraag me dan af in welke update dat zit? In de changelog van 9.3.28 zie ik alleen staan:

Security center
Fix -Repairing the risk copy during the virus scanning process will restart the scanning

Maar dat lijkt me geen betrekking hebben op het issue uit het artikel.

greatkz @Call of Duty • 5 april 2019 12:17

In elke changelog van elke fabrikant wordt het probleem 'veralgemeend' hoor!

Bv.

*Stability improvements
*Bug fixes
*iOS 12.1.4 provides important security updates and is recommended for all users
*Performance has improved
*....

Ze zullen ernstige problemen nooit toegeven!

Kiswum

Xiaomi
Miui

@Call of Duty • 5 april 2019 13:04

Die rom is te oud. Misschien is het in 9.4.2 gepatched, al kan ik dat niet met zekerheid zeggen vanwege de huidige holidays in China.

Hier voor de Mi 9 te downloaden:
http://en.miui.com/download-361.html

Helaas geen changelog hierover te vinden, dus geen zekerheid dat het daarin is gepatched.

Update met betrekking tot de nieuwste Miui release: Volgende week gaan ze weer verder met updaten:
http://en.miui.com/thread-6167602-1-1.html

[Reactie gewijzigd door Kiswum op 22 juli 2024 13:22]

Call of Duty @Kiswum • 5 april 2019 20:33

ja die is niet beschikbaar vanwege de vakanties inderdaad. 9.3.28 is laatste die ik kan downloaden (xiaomi.eu).

Skywalker27 5 april 2019 07:15

Je hoort nooit iemand over de lekken in AV want de patches komen ook met de definities mee. Soms heeft de SEC software nog meer lekken dan het OS die ze proberen te dichten

DigitalExorcist @Skywalker27 • 5 april 2019 07:36

Ik ben daar eigenlijk wel nieuwsgierig naar. Zijn daar cijfers van of überhaupt onderzoek? Er zal vast wel wat officieels van bekend zijn zónder dat je gelijk in advertorials terecht komt. Ik bedoel, Kaspersky zal zijn product natuurlijk het beste vinden, net als Sophos, Avast, Panda, E-Set enzovoort. Maar een puur objectieve mening..?

Ik dénk dat Microsoft het wel goed voor elkaar heeft met Windows Defender, en zeker met de Advanced Threat Protection en alles erop en eraan tegenwoordig. Maar ja. Da's ook maar een vermoeden, gebaseerd op het feit dat zij het allerdichtst op Windows kunnen zitten.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:22]

Skywalker27 @DigitalExorcist • 5 april 2019 07:46

Ik werk op een ISEC afdeling en doe en zie heel wat TVA's, Audits, Penn tests enz. AV is ook gewoon software die gepatched moet worden maar dat vergeet men vaak. Er is wel onderzoek naar gedaan maar weet niet meer zo door wie.

DigitalExorcist @Skywalker27 • 5 april 2019 07:57

Klopt. En als er goed geüpdated wordt is het nóg zaak om ook de voortgang van die updates te monitoren. PC langer dan 14 dagen niet geüpdated maar wel online geweest? Alarm! En regelmatig steekproeven nemen of die monitoring z'n werk wel doet natuurlijk. Eén API-verandering en het draait al in de soep. Ligt natuurlijk wel aan het soort monitors dat je gebruikt..

Om maar te zwijgen over degelijke firewalls. Zelfs het MKB (en dan vooral de kleine bedrijven) hebben soms nog gewoon routers waar alles van binnen naar buiten openstaat. "Bij de Media Markt gehaald want die was goedkoop". Open poortje erbij? Welja. Want Pietje op accounting moet natuurlijk wel kunnen Spotify'en. Oh het is een bedrijf aan huis? UPnP'tje erbij want Miepje moet wel kunnen Playstationnen 's avonds.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:22]

Skywalker27 @DigitalExorcist • 5 april 2019 10:06

Misschien ook wel interessant voor je: Critical success factors for effective business information security (Engels) van Yuri Bobbert en Talitha Papelard. Is wel meer op Management niveau.

DigitalExorcist @Skywalker27 • 5 april 2019 10:09

Ik zet 'm op de leeslijst! Ben geen manager en heb die ambitie ook helemaal niet, maar kennis kan nooit kwaad.

Comp User 5 april 2019 10:59

Wat ik mij afvraag - geldt dat alleen voor toestellen met MiUi of ook voor Android One toestellen?

Hamoudi1995 5 april 2019 08:45

Off topic: Ik las dat Xiaomi foto en video programma’s jouw tel nr. En dergelijke vraagt. Rare premisses. Iemand ervaringen?

Bron Androidplanet: Misschien wel het meest problematisch zijn de permissies die sommige Xiaomi-apps vereisen voordat je ze kunt gebruiken. Zo is het logisch dat de Weer-app toegang wil tot je locatie, maar niet dat deze je bestanden, foto’s en andere media wil inzien. Het is helemaal bizar dat zowel de Weer-app, Video-app en enkele andere meegeleverde applicaties toestemming vragen om telefoongesprekken te starten en beheren. Daarmee krijgen deze apps toegang tot je IMEI-nummer, een persoonlijk nummer waarmee Xiaomi in theorie de locatie en gespreksgeschiedenis van jouw toestel altijd bij kan houden.

[Reactie gewijzigd door Hamoudi1995 op 22 juli 2024 13:22]

greatkz @Hamoudi1995 • 5 april 2019 10:07

Je kan alles gewoon weigeren,en andere video apps gebruiken....

De reden is eigenlijk simpel.Je Imei nummer is gelinkt aan je Mi Cloud account.Dus als je backups terugzet checkt deze ook je imei nummer,voor te zorgen dat het niet elders gekopieerd kan worden(bij andere accounts/toestellen)! Dus als je filmpjes(Mi video) terugzet,zul je toegang tot je telefoon (imei) moeten verlenen....

De weer app heeft huidig totaal geen toestemmingen meer nodig! Dus klopt niet?!

Dus alles waar je een backup van kan maken op jouw Miui toestel met Mi Cloud, heeft toegang tot je IMEI nodig voor verificatie!

Anders kan iedereen een backup van iemand anders gebruiken!

Bij Xiaomi kun je dit zien,bij andere clouds/merken is het goed verborgen,de permissies trouwens!

Ze maken er geen geheimen van!

[Reactie gewijzigd door greatkz op 22 juli 2024 13:22]

DigitalExorcist @greatkz • 5 april 2019 10:11

En als je telefoon wegens stuk/verloren kwijt is en je de backup elders wil restoren? Dat lijkt me nou juist dé usecase voor een backup...

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:22]

greatkz @DigitalExorcist • 5 april 2019 10:19

Je kan gewoon uw nieuwe telefoon linken aan uw mi account en de andere dan wissen....

Dit artikel staat letterlijk op hun site;

Xiaomi gebruikt de ECV-waarde om de identiteit van de gebruiker te verifiëren en ervoor zorgen dat er geen login door hackers of onbevoegde personen plaatsvindt.

[Reactie gewijzigd door greatkz op 22 juli 2024 13:22]

Hamoudi1995 @greatkz • 5 april 2019 11:34

Dus eigenlijk is het juist veilig?
Maar, ik gebruik amper clouddiensten en wil liever niet gebruiken. Kan ik het ook weigeren?

greatkz @Hamoudi1995 • 5 april 2019 12:09

Wat is veilig?!

Het verhoogd wel de veiligheid ivm backups.

Je kan alles weigeren met de permissies.
Enkel zul je dan een andere video app(vlc bv)moeten gebruiken,voor de rest gebeurt er niets...

Hamoudi1995 @greatkz • 5 april 2019 12:15

Top. Dus weer app, camera, foto kan ik allemaal gebruiken zonder permissies?

greatkz @Hamoudi1995 • 5 april 2019 12:22

Ja hoor.

Enkel de logische permissies moeten aanstaan!

Permissies zoals telefoon(imei) kunnen volledig afstaan bij de apps die jij vermeldt.

Hamoudi1995 @greatkz • 5 april 2019 12:55

Ik begrijp het! Ik las ook dat soort adv. zitten op miui? Klopt dat? En wat voor adv. zit erin? Hoe erg vind jij het?

Kiswum

Xiaomi
Miui

@Hamoudi1995 • 5 april 2019 12:59

Er zit reclame in de rom's, mits je die instellingen aan laat staan. De meeste kun je tijdens het instellen van je telefoon uitschakelen. Tweakers zal die instellingen op default laten staan, maar ik hoop dat ze wel aangeven dat het eenvoudig is uit te schakelen door niet klakkeloos alle opties te accepteren tijdens het instellen.

Hier een bericht van mij daarover:
Kiswum in 'reviews: Smartphone Best Buy Guide - Voorjaar 2019'

Hier nog een algemene post over reclames en waar je die uit kunt schakelen.
http://en.miui.com/thread-1941612-1-1.html

Het zit er standaard in, maar je kunt ze eenvoudig uitschakelen, zodat je er geen last van hebt.

Xfade @Hamoudi1995 • 5 april 2019 13:21

Sowieso niet inloggen op je MI account op je phone. Dan doet hij er ook niks mee. Want hij gaat je dan vragen om eerst in te loggen als je de cloud dienst opstart.

Hamoudi1995 @Xfade • 5 april 2019 13:37

Oke, dus geen Mi account aanmaken + gebruiken op telefoon? Dan krijg ik geen advertenties?

Xfade @Hamoudi1995 • 5 april 2019 17:37

Advertenties zijn sowieso regio gebonden bij Xiaomi. India, Spanje wel, China, NL niet etc.

Kiswum

Xiaomi
Miui

@greatkz • 5 april 2019 12:45

Weigeren van de beveiliging in de MiVideo app, zorgt ervoor dat je geen video's kan bekijken vanuit het fotoalbum. Je kunt wel vanuit bijvoorbeeld VLC je filmpjes bekijken.
Ondanks dat alle toegang al bekend is in Miui, is het vreemd dat deze ingebouwde en tevens default app, deze rechten nodig heeft. Het slaat echt nergens op wat Xiaomi hier heeft gedaan.

Hamoudi1995 @Kiswum • 5 april 2019 12:56

Mee eens, wel vreemd dat een default video app deze premissie nodig hebt, misschien lost miui 11 het op?

DigitalExorcist @Hamoudi1995 • 5 april 2019 09:04

Ik snap de -1 die je hebt niet. Lijken me legitieme punten. En tsja, Chinese spyware, je moet er kennelijk maar blij mee zijn...

soms zijn die permissies wél logisch en nuttig: Whatsapp die je bestanden wil inzien bijvoorbeeld. Ja logisch, omdat je die kan delen/versturen. Foto's uiteraard ook. Live locatiedeling, ja dan heb je GPS nodig. Soms zijn die dingen écht wel logisch te verklaren als je het doel van een app snapt. Maar in de voorbeelden die je noemt lijkt het me inderdaad méér dan overkill om die permissies nodig te hebben.

Ik vraag me alleen af of IMEI genoeg is voor je gespreksgeschiedenis. Dat ligt m.i. toch écht bij je provider en die mogen dat niet aan Xiaomi geven. Daar heb je wel weer een aparte permissie voor, oproepgeschiedenis of zo binnen Android, meen ik te herinneren.

Een video-app kán telefoongesprekken starten als de app bedoeld is om mee te videobellen. Dan zou die permissie op zich nog te verklaren zijn.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:22]

Hamoudi1995 @DigitalExorcist • 5 april 2019 11:35

Bedankt voor je info.
Tja sommige permissies gaan soms ver maar zoals iemand anders zegt het is juist veilig.

Maar die -1 snap ik ook niet.

Kiswum

Xiaomi
Miui

@Hamoudi1995 • 5 april 2019 13:02

Alleen de MiVideo app heeft extra rechten nodig. Dit heb ik kort aangehaald in mijn Mi 9 review. Het is vreemd dat Xiaomi die rechten nodig heeft, want het slaat nergens op, tevens heeft Miui die rechten toch al. Helaas is de app ook best wel cruciaal, doordat je geen andere video app als standaard kan instellen.
Work-around: Instellingen negeren en als je een video wil bekijken, dan kun je een andere video app daarvoor inzetten. Helaas kun je de video's dan niet via je Foto album bekijken.

Het kan zijn dat de ROM bouwers van Xiaomi.eu die verplichting eruit hebben gehaald. Dus daar kun je nog wel terecht voor een schone Miui rom voor Europa.

greatkz @Kiswum • 5 april 2019 17:29

In xiaomi.eu is het ook zo,heb het gecheckt.

Ze zeggen duidelijk;

MI Video heeft toegang tot het IMEI nummer van uw telefoon nodig om het volgende te doen;
1)diensten beter aanpassen aan uw apparaat(feedback app....)
2)de beveiliging van uw account verbeteren(Mi Cloud....)

Dus ik denk dat het te zien heeft met de beveiliging voor de backups en restores vd Mi Cloud,omdat deze gelinkt zijn aan uw IMEI,alsook de feedback app die uw gegevens nodig heeft voor juiste info....

leontoeter 5 april 2019 07:29

Beetje vergezocht lijkt mij?

hrichard 5 april 2019 11:24

De aanval dit en aanval dat in In de tegenwoordige tijd schrijven, er een heel spannend verhaal van maken en vervolgens lees je 'Xiaomi heeft de kwetsbaarheid inmiddels verholpen.' Wat een stemmingmakerij. En kan die beveikigingsapp ook apps installeren zoals het artikel beweert? Of is betekent het lek enkel dat de beveikigingsapp niet goed functioneert en het toe kan laten dat er kwaadaardige apps geïnstalleerd worden? Dan ben je namelijk net zo veilig als dat je de app niet zou gebruiken lijkt me.

Natuurlijk kwalijk dat het kan, maar het lijkt hier tenminste nog zsm na bekendmaking opgelost, sommige bedrijven doen daar de moeite niet eens voor.

Ik vind vooral het artikel zo lek als een mandje.

greatkz @DigitalExorcist • 5 april 2019 09:00

Dan is bijna alles 'rommel',want het wordt bijna allemaal in China gefabriceerd!

Om alles over dezelfde kam te scheren,is nu echt wel vergezocht!

Elk bedrijf heeft zijn flaws!!!

De top 3 vd wereld zijn trouwens de laatste tijd ook niet echt positief in het nieuws gekomen qua veiligheid en flaws en betrouwbaarheid!

Trouwens zie ik weinig problemen,omdat je apps via de Play Store installeerd,en die ook op virussen/malware scant!

En Miui is gekend voor zijn wekelijkse beta updates(3-6 jaar),dus een update zal er snel komen,als het natuurlijk 'echt' zo gevaarlijk is!

DigitalExorcist @greatkz • 5 april 2019 09:02

Nou vooruit: ontworpen en ontwikkeld in China dan.

En die Play Store die "scant" op malware: https://antivirus.comodo....-android-antivirus-tests/

Overigens heeft iOS daar ook last van. Mogelijk minder omdat de regels strenger zijn, maar problemen zijn er wel degelijk.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:22]

greatkz @DigitalExorcist • 5 april 2019 09:18

Artikel is van 2017?! Is al veel verbeterd ondertussen.

En idd, 'if you can create it,you can break it'!

Ik denk dat NIEMAND 100% veilig is!!! Dat er bij elk merk wel 'achterpoortjes' zijn!

DigitalExorcist @greatkz • 5 april 2019 09:19

Daar twijfel ik niet aan, maar dit is geen 'achterdeurtje', dit is een gapend gat!

Loggedinasroot @DigitalExorcist • 5 april 2019 11:46

Hier wordt nog aardig wat stappen van de user vereist. Veel mensen zullen hier niet vatbaar voor gaan zijn.

AlphaWierie @DigitalExorcist • 5 april 2019 07:57

Inmiddels zit ik al 3 jaar aan de "Chinese rommel" het zal je verbazen wat voor sprongen deze toestellen de afgelopen 5 jaar hebben gemaakt. Qua hardware vrijwel identiek of niet beter dan de niet Chinese merken en de prijs is zeer concurrerent (factor 4 goedkoper).

Betreft software zijn er nog zeker stappen te maken, maar een echte Tweaker knalt natuurlijk zijn eigen Stock android erop (ik zit overigens wegens tevredenheid gewoon op Miui).

DigitalExorcist @AlphaWierie • 5 april 2019 07:59

het zal je verbazen wat voor sprongen deze toestellen de afgelopen 5 jaar hebben gemaak

Een kat in het nauw maakt rare sprongen inderdaad..... als ze na 5 jaar nog steeds HTTP gebruiken in plaats van HTTPS voor updates is het een godswonder dat ze niet failliet zijn.

Ik heb zelf de Android Factory Reset Protection op een LG G4 kunnen omzeilen (Android 6 geloof ik, ding van m'n dochter). Telefoon gekocht in de aanbiedingenbak bij de Media Markt. Kom ik thuis, blijkt dat ik voordat ik de Google setup kan doorlopen éérst het 06-nummer of de credentials van de vorige eigenaar moet invullen. (Geen wonder dat het een aanbieding was

stond er ook bij dat de verpakking open geweest was)

Met wat prutsen kom je in het Control Panel van Android (was iets met Wifi instellen, dan met copy/paste van het wachtwoord selecteren van de naam van een custom Wifi netwerk, ingedrukt houden om in het contextmenu te komen, dan "Delen via Mail" -> Gmail opent -> daar vandaan naar Settings kom je bij het Control Panel), toen een backup kunnen maken, en via de Restore tool kon je een root-enabled reboot initiëren waarna de optie voor een echte reset, incl. firmware en alles, kon starten.. details heb ik ooit wel eens gepost maar weet ik niet meer uit m'n hoofd. Dus hoezo "factory reset protection". Ammehoela.

En dan ben ik nou niet bepaald een expert in dit soort dingen.....

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:22]

theduke1989

Xiaomi

@DigitalExorcist • 5 april 2019 08:49

Dat is het toffe aan Android waar je als dombo/babyproof telefoon als iOS hebt waar je niks kan/mag doen.
Dan is de keuze voor mij snel gemaakt.

Maar er zijn genoeg roms die dit niet hebben. En veel mensen die een Xiaomi kopen flashen 9/10 een andere rom

Maar ja dat heb je minder in NLD merk ik dus je kan het van verschillende kanten bekijken.

DigitalExorcist @theduke1989 • 5 april 2019 08:55

Het 'toffe' aan Android is dat je niet uit kan gaan van beveiligingsmethodes die ze zelf bedenken? Bijzondere redenatie...

Dus jouw reden om een geen virusscanner te gebruiken is omdat het mooie aan Windows is dat je er makkelijk virussen op kunt krijgen?

Goh. Nou. Ik wil liever een product dat veilig is en niet door elke willekeurige snuiter zoals mijzelf gekraakt kan worden als ik 'm kwijtraak, maar ieder z'n ding zullen we maar zeggen.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:22]

Anoniem: 1184570 @theduke1989 • 5 april 2019 10:04

9 van de 10 Xiaomi gebruikers flashen een custom rom?
Heb je daar een bron van?
Custom roms zijn leuk als je telefoon geen updates meer krijgt maar ik ga geen nieuwe telefoon kopen om er daarna meteen een custom rom op te moeten zetten. Dat is hetzelfde als een blauwe fiets kopen om hem daarna groen te spuiten. Koop dan meteen een groene fiets.

theduke1989

Xiaomi

@Anoniem: 1184570 • 5 april 2019 10:25

In India flashen ze vrijwel altijd andere ROMs die meteen beschikbaar komen op XDA etc.
Voor heel EU kan je de Xiaomi.EU rom flashen.

Het grappige is dat Xiaomi eerst de MIUI alleen in engels en chinees had. Dus je was genoodzaakt om dat of echt een ''custom rom te gebruiken. Naarmate ze populairder werden kwamen er meer talen uit. Waaronder nu ook NLD.

MIUI was nooit echt de ''rom'' die mensen goed vonden. Dus vandaar alle ontwikkelingen.
Bij Xiaomi is de community echt zo groot dat er altijd wel roms uitkomen mits het een ''Qualcomm'' SoC in zit. Ik zit daarom nu ook te wachten op PixelExperience ROM die al in de maak is voor Xiaomi Mi 9. En het updatebeleid daarvan is gewoon uitstekend altijd op tijd de security patches, de vage fouten die @DigitalExcorcist vindt zitten er ook niet in

Maar goed als je zo'n telefoon koopt en geen Samsung of Apple dan is zo iets wel eerder te verwachten.

Kiswum

Xiaomi
Miui

@theduke1989 • 5 april 2019 19:06

Nederlands is erbij genomen, doordat ik door jullie ben geholpen om hier druk achter te zetten én om de vertalingen toe te voegen.
http://en.miui.com/thread-1052212-1-1.html

De reden waarom wij in Nederland de Xiaomi.eu rom massaal installeerden en adviseerde, was o.a vanwege de NL taal in die rom. Sinds vorig jaar is Nederlands wel beschikbaar en is de en.miui rom prima voor de Nederlandse markt.

greatkz @DigitalExorcist • 5 april 2019 10:56

Custom rom mag maar moet niet. Tweakers zullen inderdaad meer willen experimenteren....

Sinds 2 jaar(officiële introductie in Europa) staat er standaard NL op de Xiaomi toestellen staat.Dus doet bijna niemand nog een ROM swap!

2 jaar updates bij Miui? Meestal minstens 4 jaar bij hun Flagships,en zelfs wekelijkse beta....

Als je daarna nog niet genoeg hebt,kun je nog altijd custom roms installeren $_/-\o_$

[Reactie gewijzigd door greatkz op 22 juli 2024 13:22]

greatkz @DigitalExorcist • 5 april 2019 11:03

Dat is nu net het grote voordeel van Miui.
Ze hebben de grote Android updates niet nodig,omdat het standaard in hun eigen Miui schil al ingebakken zit!
Vergelijk het een beetje met iOS,waar ook alle toestellen IOS 12 enz krijgen,maar waar de basis en functies vd oudere toestellen toch anders is!
Ook zijn ze veel minder kwetsbaar in het algemeen,omdat ze een andere basis dan stock Android hebben.

makooy @DigitalExorcist • 5 april 2019 08:11

Dit is niks nieuws hoor. Kan op bijna elke Android telefoon. Ook op Samsung toestellen met KNOX.
Hetzij dat de methode/stappen bij bepaalde toestellen anders is.

iPhone heeft dit anders geregeld en is niet te omzeilen.

DigitalExorcist @makooy • 5 april 2019 08:13

Geen idee of het bij latere Android versies gefixt is, maar met die G4 kon dat wel, gek genoeg. En Apple heeft ook z'n klunzigheid wel gehad hoor. Dat je vanuit Siri ineens dingen kon openen zonder je foon te unlocken.. nu is dat wel gefixed maar met het updatebeleid van Android en diens fabrikanten is de kans dat zulke dingen nog opgelost worden echt minimaal. En upgraden kan vaak óók niet meer.

anandus @DigitalExorcist • 5 april 2019 07:09

Gelukkig gebeuren dit soort dingen nooooooooit bij westerse bedrijven

DigitalExorcist @anandus • 5 april 2019 07:37

Oh ongetwijfeld wel. Maar kom op.... https is nou niet bepaald een hagelnieuwe standaard of zo.

theduke1989

Xiaomi

@DigitalExorcist • 5 april 2019 09:14

Waarom fixeer je eigenlijk alleen op HTTPS? De achterliggende techniek wat gebruikt wordt moet ook goed zijn.

En dat hebben veel bedrijven niet op orde. Hoe je nu overkomt als Windows Android zijn slecht maar Apple niet? Allemaal hebben ze zwakheden.

DigitalExorcist @theduke1989 • 5 april 2019 09:17

Ja, maar geen zwakheden als http waar https gebruikt moet worden mag ik hopen...

En nee, ik 'fixeer' me niet op HTTPS, maar dat valt binnen de scope van dit artikel. Dit artikeltje gaat over een bedrijf dat iets idioots uitvreet op basis van http, dan kan ik het moeilijk ineens gaan hebben over Apple die met z'n domme hoofd Siri toegang geeft tot allerlei functies terwijl de telefoon gelocked is. Ja dat was ook een blunder van bijbelse proporties destijds. Maar dat is niet relevant voor dit verhaal verder..

En tuurlijk, HTTPS zegt ook niet alles. HTTPS garandeert in een bepaalde mate dat je communiceert met wie jij denkt te communiceren. Maar dat je met de duivel zelf communiceert heeft daar niks mee te maken. Oftewel: Facebook gebruikt ook overal HTTPS naar z'n eindgebruikers toe. En intern ook vast wel. Maar ja... als je de databases daarna aan iedereen en z'n moeder kado doet schiet je er niks mee op.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 13:22]

Op dit item kan niet meer gereageerd worden.

Beveiligingsbedrijf vindt kwetsbaarheden in Xiaomi's Beveiliging-app

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: