สมาร์ทโฟน Xiaomi พบว่ามีช่องโหว่หลายอย่างในส่วนประกอบและแอพพลิเคชั่นของระบบ
Overnesched บริษัท วิจัยความปลอดภัยได้ทำการเปิดเผย
มันเริ่มการวิจัยในปี 2566 และพบช่องโหว่ที่มีอยู่มากกว่า 20 ช่องที่อาจทำให้ผู้โจมตีที่เป็นอันตรายสามารถเข้าถึงได้ง่าย
นอกจากนี้ยังรายงานการค้นพบของ Xiaomi ตั้งแต่วันที่ 25 เมษายนถึง 30 เมษายน 2023 แต่ไม่ใช่ทั้งหมดที่ได้รับการแก้ไข
ตามนี้รายงานการกำกับดูแลของทีม Xiaomi ที่ได้รับอนุญาตให้เข้าถึง“กิจกรรมโดยพลการผู้รับและบริการที่มีสิทธิ์ระบบการขโมยไฟล์โดยพลการพร้อมสิทธิ์ของระบบการเปิดเผยข้อมูลโทรศัพท์การตั้งค่าและข้อมูลบัญชี Xiaomi และช่องโหว่อื่น ๆ-
เหตุผลสำหรับข้อบกพร่องด้านความปลอดภัย
แต่ละ OEM รวมถึงXiaomiอาศัย AOSP Codebase ของ Google เพื่อสร้างแอพและบริการสำหรับอุปกรณ์
อย่างไรก็ตามการดัดแปลงเหล่านี้ไม่ได้ตรวจสอบอย่างละเอียดสำหรับช่องโหว่เผยให้เห็นอุปกรณ์ที่จะเกิดอุบัติเหตุความปลอดภัย
แอพที่ค้นพบส่วนใหญ่มาจาก AOSP และ“ การปรับปรุงคุณสมบัติ” ของ Xiaomi ได้ปรับปรุงประสบการณ์การใช้งานของผู้ใช้ แต่ในราคาที่ร้ายแรง
แอพที่ได้รับผลกระทบจากช่องโหว่
รายการแอพที่ได้รับผลกระทบมีความยาวและรวมถึงแอพที่ใช้กันทั่วไปทั้งหมดเช่น
- แกลเลอรี่ (com.android.printspooler)
- พิมพ์ Spooler (com.android.printspooler)
- ความปลอดภัย (com.miui.securitycenter)
- องค์ประกอบหลักรักษาความปลอดภัย (com.miui.securitycore)
- การตั้งค่า (com.android.settings)
- getApps (com.xiaomi.mipicks)
- MI Video (com.miui.videoplayer)
- Miui Bluetooth (com.xiaomi.bluetooth)
- บริการโทรศัพท์ (com.android.phone)
- Shareme (comxiaom.midrop)
- การติดตามระบบ (com.android.traceur)
- Xiaomi Cloud (com.miui.cloudservice)
แอพการตั้งค่ามีช่องโหว่สี่ประการที่อนุญาตให้ผู้โจมตีเชื่อมโยงบริการกับแอพใด ๆ และอ่านข้อมูล Wi-Fi และ Bluetooth, ไฟล์ระบบ, รายละเอียดบัญชี Xiaomi และหมายเลขโทรศัพท์
GetApps ซึ่งเป็นบริการที่มีลักษณะคล้าย App Store มีข้อบกพร่องด้านความปลอดภัยที่สำคัญสี่ประการที่อาจนำไปสู่การทุจริตของหน่วยความจำและเปิดเผยข้อมูลที่ละเอียดอ่อนเช่นโทเค็นเซสชัน Xiaomi
มีความปลอดภัยกล่าวว่า Xiaomi ยังไม่ได้แก้ไขข้อบกพร่องนี้ซึ่งเป็นข่าวร้ายสำหรับผู้ใช้ที่มีอยู่
การค้นพบเหล่านี้มีอายุมากกว่าหนึ่งปีและเพิ่มความกังวลเกี่ยวกับความพยายามของ OEM เช่น Xiaomi ในการรักษาความปลอดภัยอุปกรณ์ของพวกเขา
อัปเดตโทรศัพท์ของคุณ
ท้ายที่สุดเหล่านี้เป็นแอพระบบที่พบในโทรศัพท์ทุกเครื่อง (รวมถึงโทรศัพท์ระดับพรีเมี่ยมเช่น Xiaomi 14 Ultra) ทำให้ยากที่จะไว้วางใจแบรนด์ด้วยข้อมูลส่วนบุคคล
Xiaomi ไม่ได้แสดงความคิดเห็นในรายงานล่าสุดนี้
หากคุณใช้โทรศัพท์ Xiaomi ให้ติดตั้งการอัปเดตระบบที่เผยแพร่เมื่อเร็ว ๆ นี้ทั้งหมดซึ่งอาจมีแพตช์สำหรับช่องโหว่เหล่านี้ (หรือทั้งหมด)
