Dispositivos Android da Xiaomi Atacados por Múltiplas Falhas em Aplicativos e Componentes do Sistema – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Foram reveladas múltiplas vulnerabilidades de segurança em vários aplicativos e componentes do sistema nos dispositivos Xiaomi que executam o Android.

“As vulnerabilidades no Xiaomi levaram ao acesso a atividades, receptores e serviços arbitrários com privilégios do sistema, roubo de arquivos arbitrários com privilégios do sistema, [e] divulgação de dados do telefone, configurações e conta Xiaomi,” afirmou a empresa de segurança móvel Oversecured em um relatório compartilhado com o The Hacker News.

As 20 deficiências afetam diferentes aplicativos e componentes como –

– Galeria (com.miui.gallery)
– GetApps (com.xiaomi.mipicks)
– Mi Video (com.miui.videoplayer)
– MIUI Bluetooth (com.xiaomi.bluetooth)
– Serviços de telefone (com.android.phone)
– Agendador de impressão (com.android.printspooler)
– Segurança (com.miui.securitycenter)
– Componente de segurança central (com.miui.securitycore)
– Configurações (com.android.settings)
– ShareMe (com.xiaomi.midrop)
– Rastreamento do sistema (com.android.traceur), e
– Nuvem Xiaomi (com.miui.cloudservice)

Alguns dos defeitos notáveis incluem uma falha de injeção de comando de shell que afeta o aplicativo System Tracing e falhas no aplicativo Configurações que poderiam permitir o roubo de arquivos arbitrários, bem como vazamento de informações sobre dispositivos Bluetooth, redes Wi-Fi conectadas e contatos de emergência.

Vale ressaltar que, embora Serviços de telefone, Agendador de impressão, Configurações e Rastreamento do sistema sejam componentes legítimos do Projeto de Código Aberto do Android (AOSP), eles foram modificados pelo fabricante chinês de dispositivos para incorporar funcionalidades adicionais, levando a essas falhas.

Também foi descoberta uma falha de corrupção de memória que impacta o aplicativo GetApps, que, por sua vez, tem origem em uma biblioteca Android chamada LiveEventBus, que a Oversecured disse ter sido relatada aos mantenedores do projeto há mais de um ano e ainda permanece não corrigida até o momento.

O aplicativo Mi Video foi encontrado usando intents implícitos para enviar informações da conta Xiaomi, como nome de usuário e endereço de e-mail via transmissões, que poderiam ser interceptadas por qualquer aplicativo de terceiros instalado nos dispositivos usando seus próprios receptores de transmissão.

A Oversecured afirmou que os problemas foram relatados à Xiaomi em um período de cinco dias, de 25 de abril a 30 de abril de 2023. Os usuários são aconselhados a aplicar as últimas atualizações para se proteger contra possíveis ameaças.

Você também pode gostar

CensysGPT: CAÇA DE AMEAÇAS POTENCIADO POR IA PARA PROFISSIONAIS DE CIBERSEGURANÇA (WEBINAR)

Cinco Princípios Fundamentais de Práticas Altamente Eficientes de DevSecOps

Nova Vulnerabilidade Wi-Fi Permite Espionagem de Rede através de Ataques de Downgrade