Android çalıştıran Xiaomi cihazlarındaki çeşitli uygulamalarda ve sistem bileşenlerinde çok sayıda güvenlik açığı ortaya çıktı.
“Xiaomi’deki güvenlik açıkları, sistem ayrıcalıklarıyla keyfi faaliyetlere, alıcılara ve hizmetlere erişime, sistem ayrıcalıklarıyla rastgele dosyaların çalınmasına, [and] telefonun, ayarların ve Xiaomi hesap verilerinin ifşa edilmesi,” mobil güvenlik firması Oversecured söz konusu The Hacker News ile paylaşılan bir raporda.
20 eksiklik, aşağıdakiler gibi farklı uygulamaları ve bileşenleri etkiliyor:
- Galeri (com.miui.gallery)
- GetApps (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Telefon Hizmetleri (com.android.phone)
- Yazdırma Biriktiricisi (com.android.printspooler)
- Güvenlik (com.miui.securitycenter)
- Güvenlik Çekirdek Bileşeni (com.miui.securitycore)
- Ayarlar (com.android.settings)
- ShareMe (com.xiaomi.midrop)
- Sistem İzleme (com.android.traceur) ve
- Xiaomi Bulut (com.miui.cloudservice)
Dikkate değer kusurlardan bazıları arasında, Sistem İzleme uygulamasını etkileyen bir kabuk komutu ekleme hatası ve Ayarlar uygulamasında, isteğe bağlı dosyaların çalınmasına ve ayrıca Bluetooth cihazları, bağlı Wi-Fi ağları ve acil durum kişileri hakkında bilgi sızıntısına neden olabilecek kusurlar yer alıyor.
Telefon Hizmetleri, Yazdırma Biriktiricisi, Ayarlar ve Sistem İzleme’nin Android Açık Kaynak Projesi’nin meşru bileşenleri olmasına rağmen (AOSP), Çinli cep telefonu üreticisi tarafından ek işlevler içerecek şekilde değiştirildi ve bu kusurlara yol açtı.
Ayrıca keşfedilen bir bellek bozulması kusuru GetApps uygulamasını etkiliyor ve bu da, adı verilen bir Android kitaplığından kaynaklanıyor. Canlı Etkinlik Otobüsü Oversecured’ın söylediğine göre proje yöneticilerine bir yıldan fazla bir süre önce rapor edilmiş ve bugüne kadar yama yapılmamış durumda.
Mi Video uygulamasının kullanıldığı tespit edildi örtülü niyetler Kullanıcı adı ve e-posta adresi gibi Xiaomi hesap bilgilerini göndermek için yayınlarkendi yayın alıcılarını kullanan cihazlara yüklenen herhangi bir üçüncü taraf uygulaması tarafından ele geçirilebilir.
Oversecured, sorunların 25 Nisan’dan 30 Nisan 2024’e kadar beş gün içinde Xiaomi’ye bildirildiğini söyledi. Kullanıcılara, potansiyel tehditleri azaltmak için en son güncellemeleri uygulamaları tavsiye ediliyor.
