Xiaomi-смартфоны на Android содержат ряд дыр, открывающих доступ к данным

Xiaomi-смартфоны на Android содержат ряд дыр, открывающих доступ к данным

В приложениях и системных компонентах мобильных устройств от Xiaomi нашли ряд уязвимостей, открывающих возможность манипулировать произвольными файлами с системными привилегиями и получать контроль над аккаунтами владельцев Android-смартфонов.

О проблемах рассказали исследователи из компании Oversecured. В отчёте отмечается следующее:

«Уязвимости в устройствах от Xiaomi приводят к несанкционированным действиям, получению доступа к службам, краже файлов, раскрытию информации о девайсе и аккаунтах владельца».

Среди затронутых проблемами компонентов присутствуют:

  • Gallery (com.miui.gallery)
  • GetApps (com.xiaomi.mipicks)
  • Mi Video (com.miui.videoplayer)
  • MIUI Bluetooth (com.xiaomi.bluetooth)
  • Phone Services (com.android.phone)
  • Print Spooler (com.android.printspooler)
  • Security (com.miui.securitycenter)
  • Security Core Component (com.miui.securitycore)
  • Settings (com.android.settings)
  • ShareMe (com.xiaomi.midrop)
  • System Tracing (com.android.traceur), and
  • Xiaomi Cloud (com.miui.cloudservice)

Наиболее опасные баги — возможность инъекции шелл-команды в приложении System Tracing, а также бреши в программе Settings, допускающие кражу произвольных файлов и раскрытие информации о подключённых Bluetooth-устройствах и сетях Wi-Fi.

Помимо этого, исследователи нашли уязвимость в приложении GetApps, корень которой кроется аж в библиотеке Android — LiveEventBus. А софт Mi Video пытается отправить данные об учётной записи пользователя в системе Xiaomi: имя, адрес электронной почты и т. п.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Kaspersky: 45% найденных в дарквебе паролей подбираются менее чем за минуту

Специалисты «Лаборатории Касперского» в этом месяце изучили 193 миллиона паролей, лежащих в открытом доступе на ресурсах дарквеба. Вывод неутешительный: 45% (87 млн) подбираются менее чем за минуту.

Чтобы вычислить комбинации символов, киберпреступники могут воспользоваться умными алгоритмами. Например, 14% (27 млн) найденных паролей можно угадать менее чем за час.

На подбор 8% (15 млн паролей) у злоумышленника уйдёт не более суток. Преимущество умных алгоритмов здесь в том, что они учитывают замену символов («e» на «3», «1» на «!», «a» на «@»), а также прекрасно знают популярные комбинации: «qwerty», «12345», «asdfg».

Как выяснили в Kaspersky, лишь 23% (44 млн) обнаруженных паролей оказались приемлемыми, поскольку для их подбора злоумышленникам понабилось бы больше года.

Эксперты также обращают внимание на тот факт, что 57% паролей содержат существующее словарное слово, что недопустимо, если вы хотите устойчивую комбинацию.

Чаще всего юзеры используют имена и популярные слова («forever», «love», «google», «hacker», «gamer», «password», «admin», «team»).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru