Sind Xiaomi Geräte noch sicher?

[DonSerious]

Moin,
Ich habe mir ein redmi Note 12 als zweitgerät gekauft und seit diesen news ausgeschaltet.

https://thehackernews.com/2024/05/xiaomi-android-devices-hit-by-multiple.html

Mit der Sicherheitslücke im file Manager wurden auch diverse Lücken in anderen Programmen publik. Woher weiss ich dass diese gefixed wurden? Erst dachte ich man updatet halt den file Manager aber jetzt gibt es sogar Lücken in den settings und Co. Denkt ihr das wurde mit der Software schon geupdatet? Auf der Mi Seite sind nur cve von allgemeinen Android Schwachstellen gelistet.

Spart man hier bei den Geräten aber läuft Gefahr vulnerable zu sein? Wäre das Apple oder zumindest noch Google wäre man hier von fixes lesen. Zu der Dirty Streams Lücke gibt es 2-3 news und nie wieder was dazu. Zu den weiteren 20 Lücken aus dem Artikel oben gibt's gar nix. Was meint ihr?

Danke

 

[schrht]

Ich stelle schonmal die Cola kalt, bereite das Popcorn vor und schließe eine Wette mit mir selbst ab wie lange es wohl dauert, bis wir in diesem Thread bei Grundsatzdiskussionen landen.

Die große Frage bei Sicherheitslücken (bei allen Betriebssystemen, aber insbesondere bei) mobilen Betriebssystemen ist - neben deinem Bedrohungsmodell - die tatsächliche Ausnutzbarkeit. Es ist nämlich im Regelfall eine Sache eine Schwachstelle auszunutzen, aber eine ganz andere Sache einen reproduzierbar funktionierenden Exploit zu basteln der nicht nur die ganzen Anti-Exploit-Maßnahmen aushebelt sondern auch noch die diversesten Sandboxen und sonstigen Sicherheitsspielereien umgeht. Nicht umsonst sind Unternehmen wie Zerodium bereit, hunderttausende Dollar für das was ich gerade beschrieben habe zu zahlen.

Wenn du dich nicht gerade vor der NSA schützen möchtest, dann ist die tatsächliche Gefahr die von diesen Lücken für dich ausgeht eher gering. Schlaflose Nächte hätte ich an deiner Stelle keine.

Dennoch, der Punkt den du ansprichst stimmt bis zu einem gewissen Grad schon. Die Patchpolitik von Apple und Google, wenn es um ihre Pixel-Geräte geht, sorgt für höhere Sicherheit als das, was Billiganbieter mit ihren Geräten, inklusive gammeliger Eigenentwicklungen, so treiben.

 

[madmax2010]

enkt ihr das wurde mit der Software schon geupdatet?

von wann ist denn dein patch level?

 

[Akula]

Das ist halt ein China-Gerät. Per se sollte da die Skepsis entsprechend größer sein. Sie sollte man zumindest im Hinterköpfchen haben. Mal davon abgesehen davon, das Note 12 kam 10/2022 heraus und ist eher ein Günstig-Telefon. Das sind jetzt knapp 2 Jahre her. Der Support ist begrenzt.

 

[kartoffelpü]

Was meint ihr?

Alternative Apps nutzen soweit möglich. Selbst Apps, welche man nicht komplett runterschmeißen kann, kann man per ADB deaktivieren.
Auf meinem letzten und einzigen Xiaomi-Phone hatte ich nahezu alle Xiaomi-Apps deaktiviert. Bei Einstellungen und Co geht das vermutlich nicht so leicht.

 

[DonSerious]

@madmax2010
Keine Ahnung. Es stammt auf jeden Fall von vor Juli. War seitdem ausgeschaltet. Selbst wenn. Woher weiss ich dass das xiaomi spezifische Apps fixed?

 

[madmax2010]

Versionsnummer und changelog

 

[kartoffelpü]

Apps werden unabhängig vom Android-Patchlevel aktualisiert. Ob man da aber Infos findet, ob in einem Update bestimmte CVEs geschlossen wurden, weiß ich aber nicht.

 

[Pinguin1]

https://www.netzwelt.de/news/231830...effentlicht-wichtiges-update-handys-2706.html

Mein 13t hat den letzten Patch am 01.07.2024 bekommen.

Ich stelle schonmal die Cola kalt, bereite das Popcorn vor und schließe eine Wette mit mir selbst ab wie lange es wohl dauert, bis wir in diesem Thread bei Grundsatzdiskussionen landen.

Deswegen wäre es gut wenn man direkt einfach nur auf seine Frage eingeht.
Wurde es gefixt oder nicht.

Ich kanns selbst nicht beantworten

 

[DonSerious]

Ich kanns selbst nicht beantworten

Genau das. Changelog ist auch nicht aussagekräftig. Da steht eh nur wir haben Kaffee gemacht und den Grill angeworfen. Sowas bringt mir nix. Mein Mi file Explorer war Anfang Juli stand Februar 2024 also vulnerable da die Lücke erst im April adressiert wurde. Seitdem ausgeschaltet. Habe Angst dass ich in der Zeit ohne nutzen des Programms Probleme zu bekommen. Es läuft ja im Hintergrund und in den news zu dirty Streams wird geschrieben als könne man in Sekunden gehackt werden. Klar sollte man das nicht überbewerten aber ich habe auf sowas keinen Bock mehr mit Mitte 30. Die 120 hz waren echt erste Sahne aber diese ständige Panikmache nervt nur noch.

 

[snaapsnaap]

Kann doch im Prinzip bei jedem Hersteller passieren, und die Frage ist dann, wie schnell der Hersteller reagiert und die entsprechenden Apps updated.

Je älter ein Gerät und umso länger das aus dem offiziellen Support draußen ist, umso unwahrscheinlicher wird dafür dann ein entsprechendes Update.

Hätte ich aber ein Gerät, was keine entsprechenden Updates bekommt, würde ich das bis dahin auch nicht mehr mit Accounts nutzen wollen.

Bei Samsung hab ich zusätzlich den Galaxy Store worüber die meisten (oder alle kP) Samsung Apps und der Store selber Updates bekommen, neben den Sicherheitspatches für Android selbst.

Keine Ahnung wie das bei Xiaomi ist, es gibt zwar nen Mi Store, aber ob der ähnlich agiert wie bei Samsung bzw Google, oder ob deren System Apps teilweise ewig keinerlei Updates bekommen.

 

[wolve666]

Vlt gibt es ja lineage os für das phone

 

[frames p. joule]

Waren Xiaomi-Geräte je "sicher"?

 

[gaym0r]

Mein Mi file Explorer war Anfang Juli stand Februar 2024 also vulnerable da die Lücke erst im April adressiert wurde.

In deinem Artikel steht:

Oversecured said the issues were reported to Xiaomi within a span of five days from April 25 to April 30, 2023. Users are advised to apply the latest updates to mitigate against potential threats.

(A previous version of the story incorrectly mentioned the disclosure timeline as April 2024. It was disclosed in April 2023.)

Die Probleme sind also seit April letzten Jahres bekannt und gefixt.

 

[Tuetensuppe]

Genau.
Man sollte Artikel vollständig lesen und angegebene Links ebenso.
Denn man kommt auf eine Seite auf der steht:

"Oversecured hat erhebliche mobile Sicherheitslücken in Xiaomi-Geräten gefunden und behoben. Unser Team entdeckte 20 gefährliche Schwachstellen in verschiedenen Anwendungen und Systemkomponenten, die eine Bedrohung für alle Xiaomi-Benutzer darstellen. Die Schwachstellen in Xiaomi führten zum Zugriff auf beliebige Aktivitäten, Empfänger und Dienste mit Systemberechtigungen, zum Diebstahl beliebiger Dateien mit Systemberechtigungen, zur Offenlegung von Telefon-, Einstellungs- und Xiaomi-Kontodaten und anderen Schwachstellen.

Wir haben diese Schwachstellen innerhalb von 5 Tagen vom 25. bis 30. April 2023 an Xiaomi gemeldet, damit sie schnell behoben werden konnten."

 

[DonSerious]

Das ergibt keinerlei Sinn. Die Nachrichten sind im Mai 2024 mehrfach erschienen. Wieso sollte man darüber ein Jahr später berichten? Die Lücke wurde laut MS im Jahr 2024 geschlossen.

https://t3n.de/news/dirty-streams-microsoft-sicherheitsluecke-in-android-apps-gefaehrlich-1623011/

Die Nachrichten sind beide fast gleichzeitig erschienen. Dirty Streams wurde im Februar gefixed. Mein file Manager hatte aber nur Januar 2024.

Die news mit den 20 Lücken scheinen damit nichts zu tun zu haben. Fragwürdig wieso so spät berichtet wurde.

 

[Spawn182]

Also zum einem kommt diese News von einer Seite, die scheinbar gerne ihre eigene Sicherheitsprodukte verkaufen möchte. Dann braucht jede Schwachstelle auch jemanden, der diese ausnutzt. Wenn du also Apps auf deinem Handy hast, denen du vertraust bzw. die vertrauenswürdig sind, dann sinkt das Risiko schon mal.

Auch finde ich einen Artikel vom Mai ohne Folgeartikel suspekt bzw. die Seite ist schlicht tot. War der Zweck nur diese Xiaomi Story zu verbreiten? Sind ja genug Seiten drauf aufgesprungen, die selber dazu keine Stellung nehmen Ich würde das also mal alles nicht ganz so ernst nehmen.

Da keine meiner auf Mobiltelefone spezialisierten Seiten das Thema vertieft hat, gehe ich mal davon aus, es ist mehr heiße Luft als ein tatsächlicher GAU, wie er im Artikel gern verkauft wird.

Dann hat Xiaomi für viele Dienste und Apps Updates ausgerollt.

Für mich klingt das etwas nach einer Mischung aus nur nicht chinesisch kaufen, Klickbait und Panikmache um die eigenen Dienste an den Mann bringen zu können.

Und noch das offizielle Statement von Xiaomi...

“Protecting the data security and privacy of our users is the top priority. Xiaomi has remediated all vulnerabilities reported by the Oversecured team and has ensured that no user is exposed to risk posed by these vulnerabilities. Users are always advised to update their devices to the latest version of software which offers security updates.“

Und hier kannst du selber schauen, was wo wie wann gefixt wurde...

https://trust.mi.com/misrc

Ferner ist dein Telefon noch auf der Liste von Geräten, die Sicherheitsupdates erhält...

The following smartphone models that can receive the security update of this month:
Xiaomi 11T、
Xiaomi 13T、
Xiaomi MIX Fold 3、
Redmi K60 Ultra、
Xiaomi 13T Pro、
Xiaomi 12、
Xiaomi Pad 5 Pro 12.4、
Redmi 10A、
Redmi 10A Sport、
Xiaomi 12 Pro Dimensity、
Xiaomi 12T Pro、
Redmi K70E、
Redmi 12C、
POCO C55、
POCO M6 Pro、
Redmi Note 13 Pro、
Redmi 12、
POCO M4 Pro、
Redmi Note 11S、
Redmi 10C、
Xiaomi 13、
POCO C65、
Redmi 13C、
POCO X6 5G、
Redmi Note 13 Pro 5G、
Redmi Note 13R Pro、
Redmi Note 13 5G、
POCO X6 Neo 5G、
Mi 11X Pro、
Redmi A1、
Redmi A1+、
POCO C50、
Redmi K50G、
POCO F4 GT、
Xiaomi 13 Ultra、
Redmi 10 5G、
POCO M4 5G、
Redmi 11 Prime 5G、
Redmi Note 10T、
Xiaomi 11 Lite 5G NE、
Mi 11 LE、
Xiaomi Pad 6 Pro、
Redmi Note 12 Turbo、
Redmi K50 Pro、
Xiaomi 12S、
Redmi K60、
POCO F5 Pro、
POCO X5 5G、
Xiaomi Pad 5、
Xiaomi 13 Pro、
Redmi Note 11S 5G、
Xiaomi Pad 6、
Xiaomi 12T、
Xiaomi 12X、
Redmi Note 12 Pro Speed、
POCO X5 Pro 5G、
Mi 11 Lite 5G、
POCO M5、
Redmi 11 Prime、
POCO M5s、
Redmi K50、
Redmi Note 12 Pro+ 5G、
Redmi Note 12 Pro 5G、
Redmi Note 13、
Redmi Note 12S、
Redmi 10 2022、
Redmi 12 5G、
Redmi K60 Pro、
Redmi Note 11、
Redmi Note 12 5G、
Redmi Note 12 Pro、
Xiaomi 12 Lite、
Xiaomi 12S Ultra、
Redmi Note 12、
Xiaomi 12S Pro、
Mi 11、
Redmi Note 11 Pro 5G、
Redmi Note 11 Pro、
Xiaomi 11T Pro、
Redmi A2、
Redmi A2+、
Redmi Pad SE、
Redmi Pad、
Xiaomi 12 Pro、
Xiaomi Civi 1S、
Redmi Note 13 Pro+、
Redmi Note 13 Pro+ 5G、
Xiaomi 13 Lite、
Xiaomi MIX Fold 2

Und hier noch der Update Status...

Redmi Note 12
Update Frequency 90 Days
Release Date 2023-3
Security Update EOL 2027-3
OS Version - Future Android 14，Android 15，
OS Version - Shipped Android 13

 

[MSSaar]

Bei Geizhals ist das Note 12 seit März 23 gelistet. Es wäre schon sehr verwunderlich, wenn ein Redmi mit Android 13 auf den Markt kommt mit Release 10/22.

Der (MIUI oder HyperOS) File Manager wird über den Play Store oder Updates für Systemapps aktualisiert. Wenn es so sein sollte, dass das bei dir nicht der Fall ist, gehe z. B. auf apkmirror.com und lade dir dort eine neuere Version.

 

[gaym0r]

@DonSerious
Dann ist deine einzige (berechtigte) Sorge, dass dein File-Manager nicht gepatcht ist?
Da gibt es doch zwei mögliche Lösungen in deinem anderen Thread: https://www.android-hilfe.de/forum/...was-tun-app-update-nicht-aktuell.1093921.html
Haben die nicht funktioniert?

 

[JumpingCat]

SnoopSnitch hat noch keiner hier erwähnt, oder?

https://opensource.srlabs.de/projects/snoopsnitch