В различных приложениях и системных компонентах устройств Xiaomi под управлением Android было обнаружено множество уязвимостей в системе безопасности.
"Уязвимости в Xiaomi привели к доступу к произвольным действиям, получателям и сервисам с системными привилегиями, краже произвольных файлов с системными привилегиями, [и] раскрытию данных телефона, настроек и учетной записи Xiaomi", - говорится в отчете компании Oversecured, занимающейся мобильной безопасностью, опубликованном в Hacker News.
20 недостатков влияют на различные приложения и компоненты, такие как -
Стоит отметить, что, хотя телефонные службы, диспетчер очереди печати, настройки и отслеживание системы являются законными компонентами Android Open Source Project (AOSP), они были изменены китайским производителем телефонов для включения дополнительной функциональности, что привело к этим недостаткам.
Также обнаружена ошибка с повреждением памяти, влияющая на приложение GetApps, которое, в свою очередь, происходит из библиотеки Android под названием LiveEventBus, о которой, по словам Oversecured, было сообщено сопровождающим проекта более года назад и до сих пор остается не исправленным.
Было обнаружено, что приложение Mi Video использует неявные намерения для отправки информации об учетной записи Xiaomi, такой как имя пользователя и адрес электронной почты, посредством широковещательных сообщений, которые могут быть перехвачены любым сторонним приложением, установленным на устройствах с использованием собственных широковещательных приемников.
Компания Oversecured заявила, что о проблемах Xiaomi сообщили в течение пяти дней с 25 по 30 апреля 2024 года. Пользователям рекомендуется применять последние обновления для защиты от потенциальных угроз.
"Уязвимости в Xiaomi привели к доступу к произвольным действиям, получателям и сервисам с системными привилегиями, краже произвольных файлов с системными привилегиями, [и] раскрытию данных телефона, настроек и учетной записи Xiaomi", - говорится в отчете компании Oversecured, занимающейся мобильной безопасностью, опубликованном в Hacker News.
20 недостатков влияют на различные приложения и компоненты, такие как -
- Галерея (com.miui.gallery)
- GetApps ( <url>.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Телефонные сервисы (com.android.phone)
- Диспетчер очереди печати (com.android.printspooler)
- Безопасность (com.miui.securitycenter)
- Основной компонент безопасности (com.miui.securitycore)
- Настройки (com.android.settings)
- ShareMe (com.xiaomi.midrop)
- Отслеживание системы (com.android.traceur) и
- Xiaomi Cloud (com.miui.cloudservice)
Стоит отметить, что, хотя телефонные службы, диспетчер очереди печати, настройки и отслеживание системы являются законными компонентами Android Open Source Project (AOSP), они были изменены китайским производителем телефонов для включения дополнительной функциональности, что привело к этим недостаткам.
Также обнаружена ошибка с повреждением памяти, влияющая на приложение GetApps, которое, в свою очередь, происходит из библиотеки Android под названием LiveEventBus, о которой, по словам Oversecured, было сообщено сопровождающим проекта более года назад и до сих пор остается не исправленным.
Было обнаружено, что приложение Mi Video использует неявные намерения для отправки информации об учетной записи Xiaomi, такой как имя пользователя и адрес электронной почты, посредством широковещательных сообщений, которые могут быть перехвачены любым сторонним приложением, установленным на устройствах с использованием собственных широковещательных приемников.
Компания Oversecured заявила, что о проблемах Xiaomi сообщили в течение пяти дней с 25 по 30 апреля 2024 года. Пользователям рекомендуется применять последние обновления для защиты от потенциальных угроз.
