Várias vulnerabilidades de segurança foram divulgadas em vários aplicativos e componentes do sistema em dispositivos Xiaomi que rodam Android.
“As vulnerabilidades na Xiaomi levaram ao acesso a ‘atividades arbitrárias’ (arbitrary activities), receptores e serviços com privilégios de sistema, roubo de arquivos arbitrários com privilégios de sistema, divulgação de telefones, configurações e dados da conta Xiaomi”, disse a empresa de segurança móvel Oversecured em um relatório compartilhado com The Hacker News.
As 20 deficiências afetam diferentes aplicativos e componentes como:
Gallery (com.miui.gallery)
GetApps (com.xiaomi.mipicks)
Mi Video (com.miui.videoplayer)
MIUI Bluetooth (com.xiaomi.bluetooth)
Phone Services (com.android.phone)
Print Spooler (com.android.printspooler)
Security (com.miui.securitycenter)
Security Core Component (com.miui.securitycore)
Settings (com.android.settings)
ShareMe (com.xiaomi.midrop)
System Tracing (com.android.traceur), and
Xiaomi Cloud (com.miui.cloudservice)
Algumas das falhas notáveis incluem um bug de injeção de comando shell que afeta o aplicativo System Tracing e falhas nas configurações do aplicativo que podem permitir o roubo de arquivos arbitrários, bem como vazar informações sobre dispositivos Bluetooth, redes Wi-Fi conectadas e contatos de emergência.
É importante notar que, embora os serviços telefônicos, o spooler de impressão (Print Spooler), as configurações e o rastreamento do sistema sejam componentes legítimos do Android Open Source Project (AOSP), eles foram modificados pelo fabricante chinês de aparelhos para incorporar funcionalidades adicionais, levando a essas falhas.
Também foi descoberta uma falha de corrupção de memória que afeta o aplicativo GetApps, que, por sua vez, se origina de uma biblioteca Android chamada LiveEventBus que a Oversecured disse ter sido relatada aos detentores do projeto há mais de um ano e permanece sem correção até o momento.
Descobriu-se que o aplicativo Mi Video usa intenções implícitas para enviar informações da conta Xiaomi, como nome de usuário e endereço de e-mail por meio de transmissões, que podem ser interceptadas por qualquer aplicativo de terceiros instalado nos dispositivos usando seus próprios receptores de transmissão.
A Oversecured disse que os problemas foram relatados à Xiaomi dentro de um período de cinco dias, de 25 a 30 de abril de 2024. Os usuários são aconselhados a aplicar as atualizações mais recentes para mitigar ameaças potenciais.
Sua empresa está segura?
Nosso portfólio de serviços proporciona à sua empresa a segurança de contar com uma equipe completa, experiente e altamente qualificada para cuidar das informações do seu negócio. O atendimento é personalizado e prestado por profissionais que procuram conhecer profundamente o seu negócio, dando suporte ao seu crescimento.
- Relação transparente na contratação de serviços, que lhe permitirá acompanhar e avaliar o andamento e os resultados dos trabalhos realizados;
- Tranquilidade de saber que seu ambiente de segurança e infraestrutura de TI está em mãos competentes, deixando você livre para se concentrar no seu core business;
- Consultoria contínua, atualizando constantemente sua equipe sobre as novas ameaças e tipos de ataques. Além das principais metodologias e soluções inovadores, para manter seu ambiente seguro e melhorar o desempenho do seu negócio;
- Orientá-los sobre as melhores práticas do mercado, auxiliando o Gestor de TI no planejamento estratégico de segurança de informação e no processo de tomada de decisão.
Fonte: The Hacker News
