Смартфоны Xiaomi подвержены более чем 20 уязвимостям безопасности

Смартфоны Xiaomi оказались подвержены множеству уязвимостей в своих системных компонентах и приложениях.

Компания по исследованию безопасности Oversecured сделала это открытие.

Она начала свои исследования в 2023 году и обнаружила более 20 существующих лазеек, которые могли бы позволить злоумышленникам легко получить доступ.

Кроме того, она сообщила о своих находках Xiaomi с 25 по 30 апреля 2023 года, но не все из них были исправлены.

Согласно этому отчету, упущение команды Xiaomi предоставило доступ к “произвольным действиям, приемникам и службам с системными привилегиями, краже произвольных файлов с системными привилегиями, раскрытию данных о телефоне, настройках и учетной записи Xiaomi, а также другим уязвимостям.”

Содержание

• Причины недостатков безопасности
• Затронутые приложения уязвимостью - обновите свой телефон

Причины недостатков безопасности

Каждый производитель оборудования, включая Xiaomi, полагается на кодовую базу AOSP от Google для создания своих приложений и служб для устройства.

Однако эти модификации не были тщательно проверены на наличие лазеек, что подвергло устройство рискам безопасности.

Большинство обнаруженных приложений происходят из AOSP, и “улучшения функций” Xiaomi, по всей видимости, улучшили пользовательский опыт, но ценой серьезных недостатков.

Затронутые приложения уязвимостью

Список затронутых приложений длинный и включает все часто используемые приложения, такие как

• Галерея (com.android.printspooler)

• Диспетчер печати (com.android.printspooler)

• Безопасность (com.miui.securitycenter)

• Основной компонент безопасности (com.miui.securitycore)

• Настройки (com.android.settings)

• GetApps (com.xiaomi.mipicks)

• Mi Video (com.miui.videoplayer)

• MIUI Bluetooth (com.xiaomi.bluetooth)

• Службы телефона (com.android.phone)

• ShareMe (com.xiaomi.midrop)

• Системное трассирование (com.android.traceur)

• Xiaomi Cloud (com.miui.cloudservice)

Приложения Настройки содержали четыре уязвимости, которые позволяли злоумышленникам связывать службы с любым приложением и считывать данные Wi-Fi и Bluetooth, системные файлы, данные учетной записи Xiaomi и номера телефонов.

GetApps, сервис, похожий на App Store, также имел четыре серьезные уязвимости безопасности, которые могли привести к повреждению памяти и раскрытию конфиденциальных данных, таких как токены сессии Xiaomi.

Oversecured упомянула, что Xiaomi не исправила этот недостаток, что является плохой новостью для существующих пользователей.

Эти находки более чем годовой давности вызывают опасения по поводу усилий, которые производители оборудования, такие как Xiaomi, прилагают для обеспечения безопасности своих устройств.

Обновите свой телефон

В конце концов, это системные приложения, найденные на всех телефонах (включая премиум-телефоны, такие как Xiaomi 14 Ultra), что затрудняет доверие к бренду с личными данными.

Xiaomi не прокомментировала этот недавний отчет.

Если вы используете телефон Xiaomi, установите все недавно опубликованные системные обновления, которые могут содержать исправления для некоторых (или всех) этих уязвимостей.