小米运行Android系统的设备中已经披露了多个安全漏洞,涉及各种应用程序和系统组件。
移动安全公司Oversecured在与The Hacker News分享的一份报告中表示:“小米的漏洞导致对具有系统权限的任意活动、接收器和服务的访问,以及对具有系统权限的任意文件的窃取,泄露手机、设置和小米账户数据。”
这20个缺陷影响了不同的应用程序和组件,包括:
- 相册(com.miui.gallery)
- 获取应用(com.xiaomi.mipicks)
- 小米视频(com.miui.videoplayer)
- MIUI蓝牙(com.xiaomi.bluetooth)
- 电话服务(com.android.phone)
- 打印服务(com.android.printspooler)
- 安全中心(com.miui.securitycenter)
- 安全核心组件(com.miui.securitycore)
- 设置(com.android.settings)
- ShareMe(com.xiaomi.midrop)
- 系统跟踪(com.android.traceur)
- 小米云服务(com.miui.cloudservice)
一些显着的缺陷包括影响系统跟踪应用程序的Shell命令注入漏洞,以及设置应用程序中的漏洞,可能会导致任意文件的窃取,以及泄露有关蓝牙设备、连接的Wi-Fi网络和紧急联系人的信息。
值得注意的是,虽然电话服务、打印服务、设置和系统跟踪是Android开源项目(AOSP)中的合法组件,但它们已被中国手机制造商修改以包含额外功能,从而导致了这些漏洞。
Oversecured还发现了一个影响获取应用程序的内存损坏漏洞,这反过来源于一个名为LiveEventBus的Android库,据称在一年多前已向项目维护者报告,但至今仍未修复。
小米视频应用程序被发现使用隐式意图通过广播发送小米账户信息,例如用户名和电子邮件地址,这可能被设备上安装的任何第三方应用程序拦截。
Oversecured表示,这些问题在2024年4月25日至4月30日期间已向小米报告。建议用户应用最新更新以减轻潜在威胁。
本文来自投稿,不代表TePhone特锋手机网立场,如若转载,请注明出处:https://www.tephone.com/article/22451