Many vulnerabilities ασφαλείας έχουν αποκαλυφθεί σε διάφορες εφαρμογές και στοιχεία συστήματος σε συσκευές Xiaomi με Android.

Η Oversecured, μια εταιρεία ασφάλειας κινητής τηλεφωνίας, αποκάλυψε σε έκθεση που δημοσιεύθηκε μαζί με το The Hacker News, ότι ευπάθειες στα συστήματα της Xiaomi επέτρεψαν την Accessed at σε αυθαίρετες δραστηριότητες, δέκτες και services με δικαιώματα. Επιπλέον, εντοπίστηκε κλοπή αρχείων με δικαιώματα συστήματος και αποκάλυψη πληροφοριών τηλεφώνου, ρυθμίσεων και δεδομένων λογαριασμών χρηστών Xiaomi.

See more: Xiaomi no longer allows you to play YouTube videos in the background for free

Τα 20 ελαττώματα επηρεάζουν διαφορετικές εφαρμογές και στοιχεία όπως –

Gallery (com.miui.gallery)

GetApps (com.xiaomi.mipicks)

Mi Video (com.miui.videoplayer)

MIUI Bluetooth (com.xiaomi.bluetooth)

Υπηρεσίες τηλεφώνου (com.android.phone)

Ουρά εκτύπωσης (com.android.printspooler)

Ασφάλεια (com.miui.securitycenter)

Βασικό στοιχείο ασφαλείας (com.miui.securitycore)

Ρυθμίσεις (com.android.settings)

ShareMe (com.xiaomi.midrop)

Ανίχνευση συστήματος (com.android.traceur) και

Xiaomi Cloud (com.miui.cloudservice)

Κάποια από τα πιο σημαντικά ελαττώματα που έχουν εντοπιστεί περιλαμβάνουν ένα σοβαρό σφάλμα shell injection, το οποίο επηρεάζει την εφαρμογή Σύστημα Ιχνηλάτησης, καθώς και αδυναμίες στην εφαρμογή Ρυθμίσεις που ενδέχεται να επιτρέψουν την κλοπή αρχείων και τη διαρροή ευαίσθητων πληροφοριών, όπως στοιχεία συσκευών Bluetooth, συνδεδεμένων δικτύων Wi-Fi και επαφών έκτακτης ανάγκης.

Είναι σημαντικό να επισημανθεί ότι, παρόλο που τα στοιχεία όπως οι Υπηρεσίες τηλεφώνου, η ουρά εκτύπωσης, οι Ρυθμίσεις και η Ανίχνευση Συστήματος αποτελούν νόμιμα μέρη του Έργου Ανοιχτού Κώδικα Android (AOSP), έχουν υποστεί τροποποιήσεις από τον κινέζικο κατασκευαστή συσκευών ώστε να περιλάβουν επιπλέον Functions. Αυτές οι τροποποιήσεις έχουν οδηγήσει στην εμφάνιση συγκεκριμένων ελλείψεων.

Εντοπίστηκε επίσης ένα σοβαρό πρόβλημα στη διαχείριση μνήμης που επηρεάζει την εφαρμογή GetApps. Αυτό το πρόβλημα πηγάζει από μια βιβλιοθήκη του Android, τη LiveEventBus, την οποία η Oversecured ανέφερε στους διαχειριστές του έργου πριν από έναν χρόνο. Παρά την αναφορά, το ελάττωμα δεν έχει διορθωθεί μέχρι και σήμερα.

Η εφαρμογή Mi Video παρατηρήθηκε να αποστέλλει πληροφορίες λογαριασμού Xiaomi, όπως το όνομα χρήστη και τη διεύθυνση email. Αυτό εγείρει ανησυχίες για την ασφάλεια, καθώς third-party εφαρμογές εγκατεστημένες στις συσκευές, θα μπορούσαν εύκολα να υποκλέψουν αυτές τις πληροφορίες χρησιμοποιώντας τους δικούς τους δέκτες εκπομπής.

Read more: Xiaomi 14 Ultra: The Revolution in Photography Comes with Circular Lens

Η Overcured ανέφερε στη Xiaomi τα προκύπτοντα ζητήματα εντός ενός πενθημέρου, από τις 25 έως τις 30 Απριλίου 2023. Είναι σημαντικό για τους χρήστες να ενημερώνουν τις συσκευές τους με τις τελευταίες διαθέσιμες ενημερώσεις προκειμένου να προστατευτούν από πιθανές απειλές.

Source: thehackernews