在5月2号,移动安全公司Oversecured在一份分享的报告中表示:“小米设备中的应用程序或系统程序的漏洞导致使用系统权限访问任意活动、接收器和服务,使用系统权限盗窃任意文件,以及泄露手机、设置和小米账户数据。”
这 20 个漏洞影响不同的应用程序和组件,包括:
-
画廊 (com.miui.gallery)
-
GetApps (com.xiaomi.mipicks)
-
小米视频(com.miui.videoplayer)
-
MIUI蓝牙(com.xiaomi.bluetooth)
-
电话服务 (com.android.phone)
-
后台打印程序 (com.android.printspooler)
-
安全(com.miui.securitycenter)
-
安全核心组件(com.miui.securitycore)
-
设置(com.android.settings)
-
分享我 (com.xiaomi.midrop)
-
系统跟踪 (com.android.traceur)
-
小米云(com.miui.cloudservice)
一些值得注意的缺陷包括影响系统追踪应用的Shell命令注入漏洞,以及应用设置中的缺陷,这些缺陷可能导致任意文件被盗取,以及泄露有关蓝牙设备、已连接的Wi-Fi网络和紧急联系人的信息。
由于小米视频使用 implicit intents 通过广播发送小米帐户信息,例如用户名和电子邮件地址,这些信息可以被设备上安装的任何第三方应用程序通过其广播接收器拦截,可能会导致隐私泄漏。
Oversecured 表示,这些问题已在 2024 年 4 月 25 日至 4 月 30 日期间的五天内报告给了小米。建议用户安装最新更新以防范潜在威胁。
完整报告可见:https://blog.oversecured.com/20-Security-Issues-Found-in-Xiaomi-Devices/
欢迎关注我的公众号“混入安全圈的程序猿”,更多原创文章第一时间推送