MIUI no es una capa de personalización que sea del gusto de todos. Pero, dejando los gustos a un lado, una firma de seguridad ha descubierto problemas de seguridad con la interfaz de Xiaomi.
Xiaomi es una de las marcas más famosas en el mercado, y en cierto modo todo empezó con MIUI. La capa de personalización de Xiaomi es de las más agresivas con Android, llegando a modificar el propio funcionamiento del sistema. Algo que le ha hecho ganarse muchos detractores, al igual que cuenta con una legión de fans.
Pero la seguridad no entiende de gustos. Y una firma dedicada a la seguridad informática, eScan, ha publicado un informe donde detallan varios fallos de seguridad que tendría MIUI. Fallos que van de eliminar aplicaciones administradoras a clonar todos los datos de un Xiaomi.
Los fallos de seguridad de MIUI
Una de las quejas del informe es que cualquier aplicación administradora del sistema se puede desinstalar sin quitarle esos permisos. Esto sería culpa de la aplicación desinstaladora de aplicaciones de MIUI, que se interpondría a la del sistema.
Por ejemplo, si tenemos una aplicación anti-robo que actúa como administradora, un ladrón podría borrarla sin ningún problema aún siendo administradora. No tendría que introducir ninguna contraseña, o siquiera revocar el permiso antes.
Por otra parte, el mismo informe habla sobre Mi Mover, una de las aplicaciones de MIUI. Esta sirve para transferir nuestros datos de un teléfono viejo a un nuevo teléfono. No son el primer fabricante que lo hace, hasta Apple tiene una aplicación así.
El problema es que, aparte de saltarse el sandbox de aplicaciones de Android (una medida de seguridad elemental del sistema), Mi Mover permite clonar todos los datos de un Xiaomi a otro en minutos. Todo ello sin necesidad de rootear el teléfono.
El estudio también tiene una queja sobre cómo trata MIUI los perfiles de trabajo. Además de no borrar la aplicación de gestión y sólo ocultarla, el informe afirma que los perfiles profesionales no se pueden diferenciar del perfil personal. Esto haría que un Xiaomi no esté preparado para funcionar adecuadamente en entornos empresariales.
Xiaomi responde: pon un bloqueo de pantalla
Xiaomi no se ha quedado callada ante la aparición del informe. Guiding Tech recoge un comunicado en el que Xiaomi afirma que discrepa con el estudio de eScan. Aseguran que todos estos problemas aparecen si el atacante tiene acceso físico al teléfono sin desbloquear. Algo que ya es peligroso por sí sólo.
En base a esto recomiendan a los usuarios que establezcan un bloqueo con PIN o huella dactilar. Algo que ha demostrado ser más difícil de lo que parece, 1 de cada 3 Android no tenía bloqueo de pantalla en 2016. Si tienes un Xiaomi, lo mejor que puedes hacer es configurar un bloqueo de pantalla.
A continuación podéis leer el comunicado completo de Xiaomi traducido al español.
Comunicado de Xiaomi sobre el informe de eScan
Escan hoy ha compartido un informe en el que detallan algunas preocupaciones sobre MIUI. Discrepamos por completo con las alegaciones hechas por Escan en su informe. Como una compañía de Internet global, Xiaomi toma todos los pasos necesarios para asegurarse de que nuestros dispositivos se adhieren a nuestra política de privacidad.
Cualquier amenaza que consiga acceso físico al dispositivo es capaz de realizar actividad malintencionada, y un teléfono desbloqueado supone un gran riesgo de robo de datos al usuario.
Por ello, en Xiaomi recomendamos a nuestros usuarios que sean más conscientes de proteger sus datos usando un PIN, patrones de bloqueo o el lector de huella dactilar disponible en la mayoría de nuestros smartphones. De hecho, hacer que los usuarios activen la huella dactilar es un paso estándar cuando se configura un Xiaomi por primera vez.
Mi Mover está diseñado para ser una herramienta útil para nuestros usuarios al pasar datos de un smartphone viejo a uno nuevo. Se requiere una contraseña para que Mi Mover inicie este proceso.
Es aún más importante que, para poder usar Mi Mover, el teléfono tiene que estar desbloqueado.
De esta forma existen dos capas de protección para el usuario – el bloqueo del teléfono y una contraseña de Mi Mover que son necesarias.