Smartphone Xiaomi colpiti da oltre 20 vulnerabilità di sicurezza

Gli smartphone Xiaomi sono stati trovati con molteplici vulnerabilità nei loro componenti di sistema e applicazioni.

Oversecured, una società di ricerca sulla sicurezza, ha fatto la rivelazione.

Ha iniziato la sua ricerca nel 2023 e ha trovato più di 20 falle esistenti che avrebbero potuto consentire agli attaccanti malintenzionati di ottenere un facile accesso.

Inoltre, ha riportato i risultati a Xiaomi dal 25 aprile al 30 aprile 2023, ma non tutte sono state risolte.

Secondo questo rapporto, la negligenza del team Xiaomi ha concesso accesso a “attività arbitrarie, ricevitori e servizi con privilegi di sistema, furto di file arbitrari con privilegi di sistema, divulgazione di dati del telefono, impostazioni e account Xiaomi, e altre vulnerabilità.”

Indice dei Contenuti

• Motivi per le carenze di sicurezza
• App colpite dalla vulnerabilità - Aggiorna il tuo telefono

Motivi per le carenze di sicurezza

Ogni OEM, incluso Xiaomi, si basa sul codice sorgente AOSP di Google per creare le proprie app e servizi per il dispositivo.

Tuttavia, queste modifiche non sono state controllate a fondo per eventuali falle, esponendo il dispositivo a problemi di sicurezza.

La maggior parte delle app scoperte proviene dall’AOSP, e i “miglioramenti delle funzionalità” di Xiaomi hanno apparentemente migliorato l’esperienza utente, ma a un grave costo.

App colpite dalla vulnerabilità

La lista delle app colpite è lunga e include tutte le app comunemente utilizzate come

• Galleria (com.android.printspooler)

• Print Spooler (com.android.printspooler)

• Sicurezza (com.miui.securitycenter)

• Componente di Sicurezza (com.miui.securitycore)

• Impostazioni (com.android.settings)

• GetApps (com.xiaomi.mipicks)

• Mi Video (com.miui.videoplayer)

• MIUI Bluetooth (com.xiaomi.bluetooth)

• Servizi Telefonici (com.android.phone)

• ShareMe (com.xiaomi.midrop)

• Tracciamento di Sistema (com.android.traceur)

• Xiaomi Cloud (com.miui.cloudservice)

Le app Impostazioni contenevano quattro vulnerabilità che consentivano agli attaccanti di legare servizi a qualsiasi app e leggere dati Wi-Fi e Bluetooth, file di sistema, dettagli dell’account Xiaomi e numeri di telefono.

GetApps, un servizio simile a un App Store, aveva anche quattro gravi difetti di sicurezza che potrebbero portare a corruzione della memoria ed esporre dati sensibili, come i token di sessione di Xiaomi.

Oversecured ha menzionato che Xiaomi non ha risolto questo difetto, il che è una cattiva notizia per gli utenti esistenti.

Questi risultati hanno più di un anno e sollevano preoccupazioni riguardo all’impegno che gli OEM come Xiaomi mettono nella sicurezza dei loro dispositivi.

Aggiorna il tuo telefono

Dopo tutto, queste sono app di sistema presenti in tutti i telefoni (inclusi telefoni premium come Xiaomi 14 Ultra), rendendo difficile fidarsi del marchio con i dati personali.

Xiaomi non ha commentato questo recente rapporto.

Se utilizzi un telefono Xiaomi, installa tutti gli aggiornamenti di sistema recentemente pubblicati, che potrebbero contenere patch per alcune (o tutte) di queste vulnerabilità.