کشف حداقل بیست نقص متعدد در برنامهها و اجزای سیستم دستگاههای اندرویدی شیائومی
اخبار داغ فناوری اطلاعات و امنیت شبکه
آسیبپذیریهای امنیتی متعددی در برنامهها و اجزای سیستم مختلف در دستگاههای اندرویدی شیائومی فاش شده است.
شرکت امنیتی موبایل Oversecured در گزارشی گفت: "آسیبپذیریهای شیائومی منجر به دسترسی به فعالیتهای مخرب، دسترسی به گیرندهها و خدمات با سطح اختیارات سیستم، سرقت فایلهای دلخواه با سطح اختیارات سیستم، افشای تلفن، تنظیمات و دادههای حساب شیائومی میشود".
بیست نقص بر برنامهها و کامپوننتهای مختلف تاثیر میگذارد، شامل:
• Gallery (com.miui.gallery)
• GetApps (com.xiaomi.mipicks)
• Mi Video (com.miui.videoplayer)
• MIUI Bluetooth (com.xiaomi.bluetooth)
• Phone Services (com.android.phone)
• Print Spooler (com.android.printspooler)
• Security (com.miui.securitycenter)
• Security Core Component (com.miui.securitycore)
• Setting (com.android.settings)
• ShareMe (com.xiaomi.midrop)
• System Tracing (com.android.traceur)
• Xiaomi Cloud (com.miui.cloudservice)
برخی از ایرادات قابل توجه شامل یک اشکال تزریق فرمان shell است که بر برنامه System Tracing تاثیر میگذارد و نقص در برنامه Settings که میتواند سرقت فایلهای دلخواه را امکانپذیر نموده و همچنین نشت اطلاعات دستگاههای بلوتوث، شبکههای Wi-Fi متصل و مخاطبین اضطراری را ممکن نماید.
لازم به ذکر است که درحالیکه Phone Services، Print Spooler، Settings و System Tracing اجزای قانونی پروژه متن باز اندروید (AOSP) هستند، آنها توسط این سازنده گوشی چینی برای ترکیب عملکردهای اضافی اصلاح شدهاند که منجر به این نقصها میشود.
همچنین یک نقص در حافظه آسیب دیده مشاهده شده است که بر برنامه GetApps تاثیر میگذارد، که به نوبه خود از یک لایبرری اندرویدی به نام LiveEventBus نشات میگیرد که به گفته Overcured بیش از یک سال پیش به مدیران و پشتیبانهای پروژه گزارش شده است و تا به امروز اصلاح نشده باقی مانده است.
همچنین مشخص شده است که برنامه Mi Video از اهداف ضمنی برای ارسال اطلاعات حساب شیائومی، مانند نام کاربری و آدرس ایمیل از طریق پخش، استفاده میکند، که میتواند توسط هر برنامه شخص ثالثی که روی دستگاهها با استفاده از گیرندههای پخش خود نصب شده است، رهگیری کند.
مجموعه Overcured گفت که این مشکلات در بازه زمانی پنج روزه از ٢۵ آوریل تا ٣٠ آوریل ٢٠٢٤ به شیائومی گزارش شده است. به کاربران توصیه میشود آخرین بروز رسانیها را برای کاهش تهدیدات احتمالی اعمال کنند.
برچسب ها: LiveEventBus, GetApps, Mi Video, MIUI Bluetooth, Phone Services, System Tracing, ShareMe, Xiaomi Cloud, Cyberspy, Cyber Attack, شیائومی, Android Application Package, تزریق فرمان, Print Spooler, cybersecurity, Command Injection, App, AOSP, Android , Xiaomi, جاسوسی سایبری, اندروید, امنیت سایبری, جنگ سایبری, حمله سایبری, news