Nhiều lỗ hổng bảo mật đã được tiết lộ trong các ứng dụng và thành phần hệ thống khác nhau trong các thiết bị Xiaomi chạy Android.
"Các lỗ hổng trong Xiaomi đã dẫn đến việc truy cập vào các hoạt động, máy thu và dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp các tệp tùy ý với đặc quyền hệ thống, [và] tiết lộ điện thoại, cài đặt và dữ liệu tài khoản Xiaomi", công ty bảo mật di động Oversecured cho biết trong một báo cáo được chia sẻ với The Hacker VN.
20 thiếu sót ảnh hưởng đến các ứng dụng và thành phần khác nhau như -
- Thư viện ảnh (com.miui.gallery)
- GetApps (com.xiaomi.mipicks)
- Video Mi (com.miui.videoplayer)
- Bluetooth MIUI (com.xiaomi.bluetooth)
- Dịch vụ điện thoại (com.android.phone)
- Bộ đệm In (com.android.printspooler)
- Bảo mật (com.miui.securitycenter)
- Thành phần cốt lõi bảo mật (com.miui.securitycore)
- Cài đặt (com.android.settings)
- Chia sẻ cho tôi (com.xiaomi.midrop)
- Truy tìm hệ thống (com.android.traceur) và
- Đám mây Xiaomi (com.miui.cloudservice)
Một số lỗ hổng đáng chú ý bao gồm lỗi tiêm lệnh shell ảnh hưởng đến ứng dụng Theo dõi hệ thống và các lỗ hổng trong ứng dụng Cài đặt có thể cho phép đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng Wi-Fi được kết nối và danh bạ khẩn cấp.
Cần lưu ý rằng trong khi Dịch vụ điện thoại, Bộ đệm in, Cài đặt và Truy tìm hệ thống là các thành phần hợp pháp từ Dự án nguồn mở Android (AOSP), chúng đã được nhà sản xuất thiết bị cầm tay Trung Quốc sửa đổi để kết hợp chức năng bổ sung, dẫn đến những sai sót này.
Cũng được phát hiện là một lỗ hổng tham nhũng bộ nhớ ảnh hưởng đến ứng dụng GetApps, do đó, bắt nguồn từ một thư viện Android có tên LiveEventBus mà Oversecured cho biết đã được báo cáo cho những người bảo trì dự án hơn một năm trước và vẫn chưa được vá cho đến nay.
Ứng dụng Mi Video đã bị phát hiện sử dụng ý định ngầm để gửi thông tin tài khoản Xiaomi, chẳng hạn như tên người dùng và địa chỉ email qua các chương trình phát sóng, có thể bị chặn bởi bất kỳ ứng dụng của bên thứ ba nào được cài đặt trên các thiết bị bằng cách sử dụng máy thu phát sóng của riêng nó.
Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi trong khoảng thời gian năm ngày từ ngày 25/4 đến ngày 30/4/2024. Người dùng nên áp dụng các bản cập nhật mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.