Thiết bị Xiaomi tồn tại nhiều lỗ hổng trên các ứng dụng và thành phần hệ thống

11:33, 27/05/2024

Nhiều lỗ hổng bảo mật đã được phát hiện trong các ứng dụng và thành phần hệ thống khác nhau trên các thiết bị Xiaomi cài đặt hệ điều hành Android.

Công ty bảo mật di động Oversecured (Hoa Kỳ) cho biết: “Các lỗ hổng trong thiết bị Xiaomi có thể dẫn đến việc truy cập vào các hoạt động, thành phần và dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp tùy ý, gây lộ lọt dữ liệu điện thoại, thông tin cài đặt và tài khoản Xiaomi”.

Các lỗ hổng ảnh hưởng đến nhiều ứng dụng và thành phần khác nhau, bao gồm: Gallery (com.miui.gallery); GetApps (com.xiaomi.mipicks); Mi Video (com.miui.videoplayer); MIUI Bluetooth (com.xiaomi.bluetooth); Phone Services (com.android.phone); Print Spooler (com.android.printspooler); Security (com.miui.securitycenter); Security Core Component (com.miui.securitycore); Settings (com.android.settings); ShareMe (com.xiaomi.midrop); System Tracing (com.android.traceur) và Xiaomi Cloud (com.miui.cloudservice).

Một số lỗ hổng đáng chú ý bao gồm lỗi Command injection ảnh hưởng đến ứng dụng Theo dõi hệ thống (System Tracing) và các lỗi trong ứng dụng Cài đặt (Settings) có thể cho phép đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng WiFi được kết nối và danh bạ khẩn cấp.

Điều đáng chú ý là mặc dù Dịch vụ điện thoại (Phone Services), Dịch vụ máy in (Print Spooler), Cài đặt và Theo dõi hệ thống là các thành phần hợp pháp từ Dự án mã nguồn mở Android (AOSP), nhưng chúng đã được Xiaomi sửa đổi cho phù hợp với các chức năng bổ sung, dẫn đến những sai sót này.

Một lỗ hổng khác gây hỏng bộ nhớ ảnh hưởng đến ứng dụng GetApps, bắt nguồn từ một thư viện Android có tên LiveEventBus mà Oversecured cho biết là đã được báo cáo cho những người bảo trì dự án hơn một năm trước nhưng đến nay vẫn chưa được giải quyết.

Ứng dụng Mi Video được phát hiện đã sử dụng implicit intents để gửi thông tin tài khoản Xiaomi, chẳng hạn như tên người dùng và địa chỉ email thông qua kênh broadcasts, dẫn đến việc thông tin có thể bị truy cập trái phép bởi một ứng dụng bên thứ ba.

Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi từ cuối tháng 4/2023. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất ngay khi chúng có sẵn để giảm thiểu các mối đe dọa tiềm ẩn.

Theo Tạp chí An toàn thông tin

https://antoanthongtin.vn/tin-tuc-san-pham/thiet-bi-xiaomi-ton-tai-nhieu-lo-hong-tren-cac-ung-dung-va-thanh-phan-he-thong-110119

TIN LIÊN QUAN
Từ khóa: Xiaomiứng dụngthành phần hệ thốnglỗ hổng

Bài khác

Chip cấy não của Neuralink có thể bị hack Chip cấy não của Neuralink có thể bị hack
02:38 pm, 26/06/2024
iOS 18 và iPadOS 18 beta 2: Những tính năng mới đáng chú ý iOS 18 và iPadOS 18 beta 2: Những tính năng mới đáng chú ý
02:00 pm, 26/06/2024
Claude 3.5 Sonnet: Câu trả lời của Anthropic cho GPT-4o Claude 3.5 Sonnet: Câu trả lời của Anthropic cho GPT-4o
11:01 am, 25/06/2024
Vertiv ra mắt Trung tâm AI mới Vertiv ra mắt Trung tâm AI mới
09:03 am, 25/06/2024
Ổ cứng Kingston XS1000 SSD giành giải thưởng Red Dot 2024 Ổ cứng Kingston XS1000 SSD giành giải thưởng Red Dot 2024
09:04 am, 24/06/2024
Tính năng mới khi iPhone hết pin trên iOS 18 sẽ giúp Apple Tính năng mới khi iPhone hết pin trên iOS 18 sẽ giúp Apple "vượt mặt" Samsung và Google
09:39 am, 20/06/2024
Tesla kiện nhà cung cấp cũ Matthews vì tiết lộ bí mật thương mại pin xe điện Tesla kiện nhà cung cấp cũ Matthews vì tiết lộ bí mật thương mại pin xe điện
09:44 am, 19/06/2024
Đường đua AI của Apple và Samsung: Đâu là chiếc điện thoại smartphone AI tốt nhất? Đường đua AI của Apple và Samsung: Đâu là chiếc điện thoại smartphone AI tốt nhất?
09:30 am, 14/06/2024
Apple tích hợp ChatGPT trên tất cả các thiết bị Apple tích hợp ChatGPT trên tất cả các thiết bị
03:16 pm, 13/06/2024
Apple Intelligence: Cú đột phá AI nâng tầm trải nghiệm người dùng Apple Intelligence: Cú đột phá AI nâng tầm trải nghiệm người dùng
02:11 pm, 13/06/2024

Bài mới nhất

Cơ hội và thách thức đối với nông dân trong chuyển đổi số Cơ hội và thách thức đối với nông dân trong chuyển đổi số
Công ty VETC vi phạm quy định sử dụng tần số và thiết bị vô tuyến điện Công ty VETC vi phạm quy định sử dụng tần số và thiết bị vô tuyến điện
Trình tự cấp tài khoản định danh điện tử được thực hiện như thế nào? Trình tự cấp tài khoản định danh điện tử được thực hiện như thế nào?
Chip cấy não của Neuralink có thể bị hack Chip cấy não của Neuralink có thể bị hack
iOS 18 và iPadOS 18 beta 2: Những tính năng mới đáng chú ý iOS 18 và iPadOS 18 beta 2: Những tính năng mới đáng chú ý
Samsung Galaxy Unpacked 2024: Những sản phẩm được mong đợi trong kỷ nguyên AI Samsung Galaxy Unpacked 2024: Những sản phẩm được mong đợi trong kỷ nguyên AI
'MediaTek sẽ tập trung vào AI để nắm bắt công nghệ tương lai' 'MediaTek sẽ tập trung vào AI để nắm bắt công nghệ tương lai'
EVN đạt nhiều kết quả nổi bật trong ứng dụng CNTT, chuyển đổi số EVN đạt nhiều kết quả nổi bật trong ứng dụng CNTT, chuyển đổi số
Bồi dưỡng kiến thức về xây dựng Đảng cho các cơ quan thông tấn, báo chí Bồi dưỡng kiến thức về xây dựng Đảng cho các cơ quan thông tấn, báo chí
Nam Định: Xử lý 2 cơ sở không khai báo website thương mại điện tử theo quy định Nam Định: Xử lý 2 cơ sở không khai báo website thương mại điện tử theo quy định
Sức mạnh cho doanh nghiệp trong thời đại chuyển đổi số với MobiFone eContract Sức mạnh cho doanh nghiệp trong thời đại chuyển đổi số với MobiFone eContract
Phó Thủ tướng Trần Hồng Hà: Quy định chặt chẽ hoạt động của sàn giao dịch bất động sản điện tử Phó Thủ tướng Trần Hồng Hà: Quy định chặt chẽ hoạt động của sàn giao dịch bất động sản điện tử
Trình tự, thủ tục cấp tài khoản định danh điện tử Trình tự, thủ tục cấp tài khoản định danh điện tử
VinBrain triển khai phần mềm AI trong y học VinBrain triển khai phần mềm AI trong y học
Quy định về dịch vụ chứng thực chữ ký số chuyên dùng công vụ Quy định về dịch vụ chứng thực chữ ký số chuyên dùng công vụ