小米Android设备受多个漏洞影响,涉及应用程序和系统组件

小米运行Android系统的设备中已经披露了多个安全漏洞,涉及各种应用程序和系统组件


小米Android设备受多个漏洞影响,涉及应用程序和系统组件

移动安全公司Oversecured在与The Hacker News分享的一份报告中表示:“小米的漏洞导致对具有系统权限的任意活动、接收器和服务的访问,以及对具有系统权限的任意文件的窃取,泄露手机、设置和小米账户数据。”

这20个缺陷影响了不同的应用程序和组件,包括:

  • 相册(com.miui.gallery)
  • 获取应用(com.xiaomi.mipicks)
  • 小米视频(com.miui.videoplayer)
  • MIUI蓝牙(com.xiaomi.bluetooth)
  • 电话服务(com.android.phone
  • 打印服务(com.android.printspooler)
  • 安全中心(com.miui.securitycenter)
  • 安全核心组件(com.miui.securitycore)
  • 设置(com.android.settings)
  • ShareMe(com.xiaomi.midrop)
  • 系统跟踪(com.android.traceur)
  • 小米云服务(com.miui.cloudservice)

一些显着的缺陷包括影响系统跟踪应用程序的Shell命令注入漏洞,以及设置应用程序中的漏洞,可能会导致任意文件的窃取,以及泄露有关蓝牙设备、连接的Wi-Fi网络和紧急联系人的信息。

值得注意的是,虽然电话服务、打印服务、设置和系统跟踪是Android开源项目(AOSP)中的合法组件,但它们已被中国手机制造商修改以包含额外功能,从而导致了这些漏洞。

Oversecured还发现了一个影响获取应用程序的内存损坏漏洞,这反过来源于一个名为LiveEventBus的Android库,据称在一年多前已向项目维护者报告,但至今仍未修复。

小米视频应用程序被发现使用隐式意图通过广播发送小米账户信息,例如用户名和电子邮件地址,这可能被设备上安装的任何第三方应用程序拦截。

Oversecured表示,这些问题在2024年4月25日至4月30日期间已向小米报告。建议用户应用最新更新以减轻潜在威胁。

文章来源于互联网-小米Android设备受多个漏洞影响,涉及应用程序和系统组件

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注