חוקרי צוות חולשות הסייבר במובייל של חברת צ'ק פוינט בראשות סלבה מקייב איתרו חולשת אבטחה משמעותית שיכולה להביא לפריצה לכל מכשיר נייד של חברת שיאומי באמצעותה להצפין את המידע שעל המכשיר עם בקשת כופר, להדביק אותו בנוזקות שמאפשרות לגנוב את המידע האישי שקיים בו או להשתמש במכשיר הנייד ככלי מעקב אחר הבעלים שלו.
החולשה הייתה קיימת באופן אירוני, דווקא בתוך אפליקציית אבטחה שקיימת בכלל מכשירי החברה – Guard Provider – שנועדה להגן על המכשיר מפני וירוסים ונוזקות.
בבסיס החולשה שאותרה במכשירים הניידים, היתה היכולת להתקין קוד זדוני דרך אפליקציית האבטחה של המכשיר שמשתמשת בפיתוחי תוכנה של צד שלישי (בשיטת התקיפה המוכרת כ-Man In the Middle) במצב שבו התוקף משתמש באותה הרשת האלחוטית בה משתמש הבעלים של המכשיר. כך, לשם המחשה, במידה והתוקף בוחר ביעד שיש בו רשת wifi פופולרית ומרובת משתמשים (קניון, נמל תעופה, בית קפה גדול וכיו"ב), התוקף והקורבנות משתמשים באותה רשת אלחוטית ובאמצעות הזרקת הקוד על פלטפורמת פיתוח התוכנה של צד שלישי באפליקציית האבטחה שבמכשיר – התוקף מבצע את התקיפה ומסוגל לפגוע בכל בעלי המכשירים הניידים של החברה המשתמשים ברשת האלחוטית מסביבו.
יונתן שמעונוביץ, מנהל מחלקת מחקר מובייל בצ'ק פוינט: "פריצות למכשירי טלפון ניידים הולכת וצוברת תאוצה ולמרות זאת – 97% מכלל מחזיקי הטלפונים הסלולריים לא משתמשים באפליקציות אבטחה כדי לשמור על כל המידע שנמצא במכשירים שלהם. כאשר חולשת האבטחה מצויה באפליקציות מותקנות מראש על המכשירים מצד היצרן, ועוד אפליקציות שנועדו לשמור על המכשיר, מומחשת עוד יותר הסכנה הפוטנציאלית לפריצה אל המכשירים. פתרונות אבטחה למכשירים ניידים קיימים היום והתקנתם על המכשיר תמנע שימוש בחולשות מעין אלו". במילים אחרות: התקינו אנטי וירוס על הסמארטפון שלכם.
חוקרי צ'ק פוינט עדכנו את חברת שיאומי בממצאים וזו טיפלה בפרצה בהקדם. חשוב להדגיש שעדכון האבטחה ששלחה החברה לכלל בעלי המכשירים הניידים הינו אוטומטי והחולשה כבר לא יכולה לשמש למתקפות על מכשירים.
שיאומי היא מיצרניות הסמארטפונים המצליחות בעולם כיום, ומחזיקה בנתח שוק של שמונה אחוזים מהשוק העולמי.