Phát hiện nhiều lỗ hổng trong các ứng dụng trên thiết bị Android của Xiaomi

0
0

- Nhiều lỗ hổng bảo mật đã được phát hiện trong các ứng dụng và thành phần hệ thống khác nhau trên các thiết bị Xiaomi chạy Android.

Công ty bảo mật di động Oversecured cho biết: “Các lỗ hổng trong Xiaomi có thể dẫn đến việc truy cập vào các hoạt động, thành phần và dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp tùy ý, gây lộ lọt dữ liệu điện thoại, thông tin cài đặt và tài khoản Xiaomi”.

 

Các lỗ hổng ảnh hưởng đến nhiều ứng dụng và thành phần khác nhau, bao gồm:

- Gallery (com.miui.gallery)

- GetApps (com.xiaomi.mipicks)

- Mi Video (com.miui.videoplayer)

- MIUI Bluetooth (com.xiaomi.bluetooth)

- Phone Services (com.android.phone)

- Print Spooler (com.android.printspooler)

- Security (com.miui.securitycenter)

- Security Core Component (com.miui.securitycore)

- Settings (com.android.settings)

- ShareMe (com.xiaomi.midrop)

- System Tracing (com.android.traceur)

- Xiaomi Cloud (com.miui.cloudservice)

Một số lỗ hổng đáng chú ý bao gồm lỗi Shell command injection ảnh hưởng đến ứng dụng Theo dõi hệ thống (System Tracing) và các lỗi trong ứng dụng Cài đặt (Settings) có thể cho phép đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng Wi-Fi được kết nối và danh bạ khẩn cấp.

Điều đáng chú ý là mặc dù Dịch vụ điện thoại (Phone Services) , Dịch vụ máy in (Print Spooler), Cài đặt và Theo dõi hệ thống là các thành phần hợp pháp từ Dự án mã nguồn mở Android (AOSP), nhưng chúng đã được Xiaomi sửa đổi cho phù hợp với các chức năng bổ sung, dẫn đến những sai sót này.

Cũng được phát hiện là một lỗ hổng hây hỏng bộ nhớ ảnh hưởng đến ứng dụng GetApps, lỗi này bắt nguồn từ một thư viện Android có tên LiveEventBus mà Oversecured cho biết là đã được báo cáo cho những người bảo trì dự án hơn một năm trước nhưng đến nay vẫn chưa được giải quyết.

Ứng dụng Mi Video được phát hiện đã sử dụng implicit intents để gửi thông tin tài khoản Xiaomi, chẳng hạn như tên người dùng và địa chỉ email thông qua kênh broadcasts, dẫn đến việc thông tin có thể bị truy cập trái phép bởi một ứng dụng bên thứ ba.

Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi từ cuối tháng 4 năm 2023. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất ngay khi chúng có sẵn để giảm thiểu các mối đe dọa tiềm ẩn.

PV (theo thehackernews.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.