В приложениях и системных компонентах мобильных устройств от Xiaomi нашли ряд уязвимостей, открывающих возможность манипулировать произвольными файлами с системными привилегиями и получать контроль над аккаунтами владельцев Android-смартфонов.
О проблемах рассказали исследователи из компании Oversecured. В отчёте отмечается следующее:
«Уязвимости в устройствах от Xiaomi приводят к несанкционированным действиям, получению доступа к службам, краже файлов, раскрытию информации о девайсе и аккаунтах владельца».
Среди затронутых проблемами компонентов присутствуют:
- Gallery (com.miui.gallery)
- GetApps (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Phone Services (com.android.phone)
- Print Spooler (com.android.printspooler)
- Security (com.miui.securitycenter)
- Security Core Component (com.miui.securitycore)
- Settings (com.android.settings)
- ShareMe (com.xiaomi.midrop)
- System Tracing (com.android.traceur), and
- Xiaomi Cloud (com.miui.cloudservice)
Наиболее опасные баги — возможность инъекции шелл-команды в приложении System Tracing, а также бреши в программе Settings, допускающие кражу произвольных файлов и раскрытие информации о подключённых Bluetooth-устройствах и сетях Wi-Fi.
Помимо этого, исследователи нашли уязвимость в приложении GetApps, корень которой кроется аж в библиотеке Android — LiveEventBus. А софт Mi Video пытается отправить данные об учётной записи пользователя в системе Xiaomi: имя, адрес электронной почты и т. п.
![В Сеть попали данные покупателей маркетплейса PandaBuy (pandabuy[.]com)](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/pandabuyleak_news.png?itok=Eez8urMI×tamp=1711964660)
