חוקרי צוות חולשות הסייבר במובייל של חברת צ'ק פוינט, בראשות סלבה מקייב, איתרו חולשת אבטחה משמעותית שיכולה להביא לפריצה לכל מכשיר נייד של חברות שיאומי, כך נמסר היום (חמישי) מהחברה. החולשה יכולה לאפשר לתוקף להצפין את המידע שעל המכשיר בבקשת כופר, להדביק אותו בנוזקות שמאפשרות לגנוב את המידע האישי שקיים בו או להשתמש במכשיר הנייד ככלי מעקב אחר הבעלים שלו. החולשה הייתה קיימת בתוך אפליקציית אבטחה שקיימת בכלל מכשירי החברה - Guard Provider - שנועדה להגן על המכשיר מפני וירוסים ונוזקות.
כיום שיאומי היא השחקנית השלישית בגודלה בשוק המובייל העולמי, ומחזיקה בנתח שוק גלובלי של שמונה אחוזים. בבסיס החולשה שאותרה במכשירים הניידים שלה, היתה היכולת להתקין קוד זדוני דרך אפליקציית האבטחה של המכשיר, שמשתמשת בפיתוחי תוכנה של צד שלישי. מדובר בשיטת תקיפה המוכרת בשם Man In the Middle, במצב שבו התוקף משתמש באותה הרשת האלחוטית בה משתמש הבעלים של המכשיר.
כך, לשם המחשה, במידה והתוקף בוחר ביעד שיש בו רשת wifi פופולרית (קניון, נמל תעופה, בית קפה גדול וכיו"ב), התוקף והקורבנות משתמשים באותה רשת אלחוטית ובאמצעות הזרקת הקוד על פלטפורמת פיתוח התוכנה של צד שלישי (SDK) באפליקצית האבטחה שבמכשיר - התוקף מבצע את המתקפה ומסוגל לפגוע בכל בעלי המכשירים הניידים של החברה המשתמשים ברשת האלחוטית מסביבו. חוקרי צ'ק פוינט עדכנו את חברת שיאומי בממצאים וזו הביאה לפתרון הבעיה בהקדם. מהחברה נמסר כי "עדכון האבטחה ששלחה החברה לכלל בעלי המכשירים הניידים הינו אוטומטי ולמעשה לא ניתן לעשות שימוש במתקפה זו כיום - לאחר הגילוי של החולשה ופתירתה".
יונתן שמעונוביץ, מנהל מחלקת מחקר מובייל בצ'ק פוינט הסביר כי "פריצות למכשירי טלפון ניידים הולכת וצוברת תאוצה ולמרות זאת – 97% מכלל מחזיקי הטלפונים הסלולריים לא משתמשים באפליקציות אבטחה כדי לשמור על כל המידע שנמצא במכשירים שלהם". לדבריו, כאשר חולשת האבטחה מצויה באפליקציות מותקנות מראש על המכשירים מצד הספק - ועוד אפליקציות שנועדו לשמור על המכשיר - מומחשת עוד יותר הסכנה הפוטנציאלית לפריצה אל המכשירים. "פתרונות אבטחה למכשירי המובייל - דוגמת SANDBLAST MOBILE -קיימים היום והתקנתם על המכשיר תמנע שימוש בחולשות מעין אלו", ציין.