20以上のセキュリティ脆弱性に影響を受けたXiaomiフォン

Xiaomiスマートフォンには、システムコンポーネントやアプリケーションに複数の脆弱性が見つかりました。

セキュリティリサーチ会社のOversecuredがこのことを明らかにしました。

彼らは2023年に調査を開始し、悪意のある攻撃者が簡単にアクセスできる20以上の既存の抜け穴を発見しました。

さらに、2023年4月25日から4月30日までの間にXiaomiに報告しましたが、すべての問題が修正されたわけではありません。

この報告によると、Xiaomiチームの見落としにより、「任意の活動、受信者、システム特権を持つサービスへのアクセス、システム特権を持つ任意のファイルの盗難、電話、設定、Xiaomiアカウントデータの開示、その他の脆弱性」が許可されてしまいました。

目次

• セキュリティの欠陥の理由
• 脆弱性の影響を受けたアプリ - 電話を更新してください

セキュリティの欠陥の理由

すべてのOEM、Xiaomiを含むは、デバイス用のアプリやサービスを作成するためにGoogleのAOSPコードベースに依存しています。

しかし、これらの変更は抜け穴について徹底的にチェックされておらず、デバイスがセキュリティの問題にさらされる結果となりました。

発見されたアプリのほとんどはAOSPから来ており、Xiaomiの「機能改善」はユーザー体験を向上させたようですが、その代償は重大です。

脆弱性の影響を受けたアプリ

影響を受けたアプリのリストは長く、一般的に使用されるすべてのアプリが含まれています。

• ギャラリー (com.android.printspooler)
• プリントスプーラー (com.android.printspooler)
• セキュリティ (com.miui.securitycenter)
• セキュリティコアコンポーネント (com.miui.securitycore)
• 設定 (com.android.settings)
• GetApps (com.xiaomi.mipicks)
• Mi Video (com.miui.videoplayer)
• MIUI Bluetooth (com.xiaomi.bluetooth)
• 電話サービス (com.android.phone)
• ShareMe (com.xiaomi.midrop)
• システムトレーシング (com.android.traceur)
• Xiaomi Cloud (com.miui.cloudservice)

設定アプリには、攻撃者が任意のアプリにサービスをバインドし、Wi-FiおよびBluetoothデータ、システムファイル、Xiaomiアカウントの詳細、電話番号を読み取ることを可能にする4つの脆弱性が含まれていました。

GetAppsというApp Storeのようなサービスにも、メモリの破損を引き起こし、Xiaomiセッショントークンなどの機密データを露出させる可能性のある4つの重大なセキュリティ欠陥がありました。

Oversecuredは、Xiaomiがこの欠陥を修正していないと述べており、既存のユーザーにとっては悪いニュースです。

これらの発見は1年以上前のものであり、XiaomiのようなOEMがデバイスのセキュリティを確保するためにどれだけの努力をしているのかについて懸念を引き起こします。

電話を更新してください

結局、これらはすべての電話（Xiaomi 14 Ultraのようなプレミアムフォンを含む）に見られるシステムアプリであり、個人データをブランドに信頼することが難しくなっています。

Xiaomiはこの最近の報告についてコメントしていません。

Xiaomiフォンを使用している場合は、最近公開されたすべてのシステムアップデートをインストールしてください。これには、これらの脆弱性のいくつか（またはすべて）に対するパッチが含まれている可能性があります。