Անվտանգության նոր խոցելիություններ՝ Android–ով աշխատող Xiaomi սարքերում

Android-ով աշխատող Xiaomi սարքերի տարբեր հավելվածներում և համակարգի կոմպոնենտներում անվտանգության բազմաթիվ խոցելիություններ են հայտնաբերվել։

«Xiaomi-ի խոցելիությունը հանգեցրեց կամայական գործողությունների կատարման,  համակարգային արտոնություններով կամայական ֆայլերի հափշտակման, կարգավորումների խաթարման և Xiaomi օգտահաշիվների տվյալների բացահայտման», – նշվում է բջջային անվտանգության ընկերության՝ Oversecured–ի կողմից հրապարակած զեկույցում:

20 խոցելիություններն ազդում են հետևյալ հավելվածների և դրանց կոմպոնենտների վրա՝

• Gallery (com.miui.gallery)
• GetApps (com.xiaomi.mipicks)
• Mi Video (com.miui.videoplayer)
• MIUI Bluetooth (com.xiaomi.bluetooth)
• Phone Services (com.android.phone)
• Print Spooler (com.android.printspooler)
• Security (com.miui.securitycenter)
• Security Core Component (com.miui.securitycore)
• Settings (com.android.settings)
• ShareMe (com.xiaomi.midrop)
• System Tracing (com.android.traceur), and
• Xiaomi Cloud (com.miui.cloudservice)

Անալիտիկայի արդյունքում հայտնաբերվել է նաև GetApps հավելվածի վրա ազդող memory corruption flaw–ն, ինչն էլ իր հերթին, առաջացել է LiveEventBus կոչվող Android գրադարանից։

Պարզվել է, որ Mi Video հավելվածն օգտագործում է Xiaomi-ի հաշվի ինֆորմացիան, ինչպիսիք են՝ username–ը, էլ․ փոստի հասցեն, որոնք ուղարկվում են broadcast–երի միջոցով և նախատեսված են սարքերը գաղտնալսելու համար։

Աղբյուրը՝  https://thehackernews.com/