샤오미폰, 20개 이상의 보안 취약점에 영향받아

샤오미 스마트폰에서 시스템 구성 요소와 애플리케이션에 여러 취약점이 발견되었습니다.

보안 연구 회사인 Oversecured가 이 사실을 밝혔습니다.

이들은 2023년에 연구를 시작하여 악의적인 공격자가 쉽게 접근할 수 있는 20개 이상의 기존 허점을 발견했습니다.

또한, 2023년 4월 25일부터 4월 30일까지 샤오미에 발견 사항을 보고했지만, 모든 취약점이 수정된 것은 아닙니다.

이 보고서에 따르면, 샤오미 팀의 감독 소홀로 인해 “임의의 활동, 수신기 및 시스템 권한을 가진 서비스에 대한 접근, 시스템 권한을 가진 임의 파일의 도난, 전화, 설정 및 샤오미 계정 데이터의 노출, 기타 취약점.“에 대한 접근이 허용되었습니다.

샤오미를 포함한 각 OEM은 장치의 앱과 서비스를 만들기 위해 구글의 AOSP 코드베이스에 의존합니다.

하지만 이러한 수정 사항은 허점에 대해 철저히 검토되지 않아 장치가 보안 사고에 노출되었습니다.

발견된 앱의 대부분은 AOSP에서 비롯되었으며, 샤오미의 “기능 개선”은 사용자 경험을 개선했지만 큰 대가를 치렀습니다.

취약점에 영향을 받은 앱

영향을 받은 앱 목록은 길며, 일반적으로 사용되는 모든 앱을 포함합니다:

설정 앱에는 공격자가 서비스를 모든 앱에 바인딩하고 Wi-Fi 및 블루투스 데이터, 시스템 파일, 샤오미 계정 세부정보 및 전화번호를 읽을 수 있도록 허용하는 네 가지 취약점이 포함되어 있었습니다.

앱 스토어와 유사한 서비스인 GetApps에도 메모리 손상을 초래하고 샤오미 세션 토큰과 같은 민감한 데이터를 노출할 수 있는 네 가지 주요 보안 결함이 있었습니다.

Oversecured는 샤오미가 이 결함을 수정하지 않았다고 언급했으며, 이는 기존 사용자에게 나쁜 소식입니다.

이 발견 사항은 1년 이상 된 것이며, 샤오미와 같은 OEM이 장치를 보호하는 데 얼마나 노력하고 있는지에 대한 우려를 불러일으킵니다.

결국, 이러한 앱은 모든 전화(샤오미 14 울트라와 같은 프리미엄 전화 포함)에서 발견되는 시스템 앱이므로 개인 데이터를 가지고 브랜드를 신뢰하기 어렵습니다.

샤오미는 이 최근 보고서에 대해 언급하지 않았습니다.

샤오미 전화를 사용하는 경우, 최근에 발표된 모든 시스템 업데이트를 설치하여 일부(또는 모든) 취약점에 대한 패치가 포함될 수 있습니다.