Você está visualizando atualmente Xiaomi Dispositivos Android Afetados por Múltiplas Falhas em Aplicativos e Componentes do Sistema

Xiaomi Dispositivos Android Afetados por Múltiplas Falhas em Aplicativos e Componentes do Sistema

Foram identificadas múltiplas vulnerabilidades de segurança em várias aplicações e componentes do sistema em dispositivos Xiaomi com sistema operacional Android.

“As vulnerabilidades na Xiaomi resultaram em acesso a atividades, receptores e serviços arbitrários com privilégios de sistema, roubo de arquivos arbitrários com privilégios de sistema, [e] divulgação de dados do telefone, configurações e da conta Xiaomi,” disse a empresa de segurança móvel Oversecured em um relatório compartilhado com The Hacker News.

As 20 deficiências impactam diferentes aplicativos e componentes, como –

– Galeria (com.miui.gallery)
– GetApps (com.xiaomi.mipicks)
– Mi Video (com.miui.videoplayer)
– MIUI Bluetooth (com.xiaomi.bluetooth)
– Serviços de Telefone (com.android.phone)
– Impressão em segundo plano (com.android.printspooler)
– Segurança (com.miui.securitycenter)
– Componente Central de Segurança (com.miui.securitycore)
– Configurações (com.android.settings)
– ShareMe (com.xiaomi.midrop)
– Traçado do Sistema (com.android.traceur)
– Xiaomi Cloud (com.miui.cloudservice)

Algumas das vulnerabilidades notáveis incluem uma falha de injeção de comando shell impactando o aplicativo de Traçado do Sistema e falhas no aplicativo Configurações que poderiam permitir o roubo de arquivos arbitrários, bem como vazamento de informações sobre dispositivos Bluetooth, redes Wi-Fi conectadas e contatos de emergência.

Vale ressaltar que, embora os Serviços de Telefone, Impressão em segundo plano, Configurações e Traçado do Sistema sejam componentes legítimos do Projeto de Código Aberto do Android (AOSP), eles foram modificados pelo fabricante chinês de dispositivos para incorporar funcionalidades adicionais, resultando nessas falhas.

Também foi descoberta uma falha de corrupção de memória impactando o aplicativo GetApps, que, por sua vez, tem origem em uma biblioteca Android chamada LiveEventBus e permanece sem correção até a presente data.

O aplicativo Mi Video foi encontrado utilizando intents implícitos para enviar informações da conta Xiaomi, como nome de usuário e endereço de e-mail, via broadcasts, o que poderia ser interceptado por qualquer aplicativo de terceiros instalado nos dispositivos usando seus próprios receivers.

Oversecured afirmou que as questões foram relatadas para a Xiaomi em um período de cinco dias, de 25 de abril a 30 de abril de 2023. Os usuários são aconselhados a aplicar as últimas atualizações para se proteger contra possíveis ameaças.