Thiết bị Xiaomi tồn tại nhiều lỗ hổng trên các ứng dụng và thành phần hệ thống

11:33, 27/05/2024

Nhiều lỗ hổng bảo mật đã được phát hiện trong các ứng dụng và thành phần hệ thống khác nhau trên các thiết bị Xiaomi cài đặt hệ điều hành Android.

Công ty bảo mật di động Oversecured (Hoa Kỳ) cho biết: “Các lỗ hổng trong thiết bị Xiaomi có thể dẫn đến việc truy cập vào các hoạt động, thành phần và dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp tùy ý, gây lộ lọt dữ liệu điện thoại, thông tin cài đặt và tài khoản Xiaomi”.

Các lỗ hổng ảnh hưởng đến nhiều ứng dụng và thành phần khác nhau, bao gồm: Gallery (com.miui.gallery); GetApps (com.xiaomi.mipicks); Mi Video (com.miui.videoplayer); MIUI Bluetooth (com.xiaomi.bluetooth); Phone Services (com.android.phone); Print Spooler (com.android.printspooler); Security (com.miui.securitycenter); Security Core Component (com.miui.securitycore); Settings (com.android.settings); ShareMe (com.xiaomi.midrop); System Tracing (com.android.traceur) và Xiaomi Cloud (com.miui.cloudservice).

Một số lỗ hổng đáng chú ý bao gồm lỗi Command injection ảnh hưởng đến ứng dụng Theo dõi hệ thống (System Tracing) và các lỗi trong ứng dụng Cài đặt (Settings) có thể cho phép đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng WiFi được kết nối và danh bạ khẩn cấp.

Điều đáng chú ý là mặc dù Dịch vụ điện thoại (Phone Services), Dịch vụ máy in (Print Spooler), Cài đặt và Theo dõi hệ thống là các thành phần hợp pháp từ Dự án mã nguồn mở Android (AOSP), nhưng chúng đã được Xiaomi sửa đổi cho phù hợp với các chức năng bổ sung, dẫn đến những sai sót này.

Một lỗ hổng khác gây hỏng bộ nhớ ảnh hưởng đến ứng dụng GetApps, bắt nguồn từ một thư viện Android có tên LiveEventBus mà Oversecured cho biết là đã được báo cáo cho những người bảo trì dự án hơn một năm trước nhưng đến nay vẫn chưa được giải quyết.

Ứng dụng Mi Video được phát hiện đã sử dụng implicit intents để gửi thông tin tài khoản Xiaomi, chẳng hạn như tên người dùng và địa chỉ email thông qua kênh broadcasts, dẫn đến việc thông tin có thể bị truy cập trái phép bởi một ứng dụng bên thứ ba.

Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi từ cuối tháng 4/2023. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất ngay khi chúng có sẵn để giảm thiểu các mối đe dọa tiềm ẩn.

Theo Tạp chí An toàn thông tin

https://antoanthongtin.vn/tin-tuc-san-pham/thiet-bi-xiaomi-ton-tai-nhieu-lo-hong-tren-cac-ung-dung-va-thanh-phan-he-thong-110119

TIN LIÊN QUAN
Từ khóa: Xiaomiứng dụngthành phần hệ thốnglỗ hổng

Bài khác

Đường đua AI của Apple và Samsung: Đâu là chiếc điện thoại smartphone AI tốt nhất? Đường đua AI của Apple và Samsung: Đâu là chiếc điện thoại smartphone AI tốt nhất?
09:30 am, 14/06/2024
Apple tích hợp ChatGPT trên tất cả các thiết bị Apple tích hợp ChatGPT trên tất cả các thiết bị
03:16 pm, 13/06/2024
Apple Intelligence: Cú đột phá AI nâng tầm trải nghiệm người dùng Apple Intelligence: Cú đột phá AI nâng tầm trải nghiệm người dùng
02:11 pm, 13/06/2024
Tesla đưa 2 robot hình người vào làm việc tại nhà máy Tesla đưa 2 robot hình người vào làm việc tại nhà máy
10:40 am, 13/06/2024
Nokia thực hiện cuộc gọi điện thoại đầu tiên trên thế giới sử dụng âm thanh 3D Nokia thực hiện cuộc gọi điện thoại đầu tiên trên thế giới sử dụng âm thanh 3D
02:12 pm, 11/06/2024
OPPO sẽ hiện thực hóa điện thoại AI OPPO sẽ hiện thực hóa điện thoại AI
01:34 pm, 11/06/2024
Tái tạo giọng nói bằng AI cho những người bị mất giọng Tái tạo giọng nói bằng AI cho những người bị mất giọng
10:01 am, 11/06/2024
Arm kỳ vọng 100 tỷ thiết bị sẽ sẵn sàng cho AI vào cuối năm 2025 Arm kỳ vọng 100 tỷ thiết bị sẽ sẵn sàng cho AI vào cuối năm 2025
08:32 am, 08/06/2024
Synology ActiveProtect: thiết bị bảo vệ dữ liệu doanh nghiệp hiệu quả Synology ActiveProtect: thiết bị bảo vệ dữ liệu doanh nghiệp hiệu quả
04:17 pm, 07/06/2024
Cisco AI Nexus HyperFabric, đơn giản hóa cơ sở hạ tầng trung tâm dữ liệu dành cho AI tạo sinh Cisco AI Nexus HyperFabric, đơn giản hóa cơ sở hạ tầng trung tâm dữ liệu dành cho AI tạo sinh
03:51 pm, 07/06/2024

Bài mới nhất

Amazon phải bồi thường 122 triệu USD do vi phạm bằng sáng chế quảng cáo trên Internet Amazon phải bồi thường 122 triệu USD do vi phạm bằng sáng chế quảng cáo trên Internet
Thượng Hải cấp phép cho Tesla thử nghiệm xe tự lái hoàn toàn Thượng Hải cấp phép cho Tesla thử nghiệm xe tự lái hoàn toàn
Số hóa hồ sơ hiệu quả với hệ thống VNPT eDiG Số hóa hồ sơ hiệu quả với hệ thống VNPT eDiG
"Ông trùm" thương mại điện tử Colin Huang vượt "cha đẻ" TikTok trên bảng xếp hạng tỷ phú Trung Quốc
Cơ chế, chính sách giúp báo chí phát triển Cơ chế, chính sách giúp báo chí phát triển
Năm 2045, ngành bán dẫn Việt Nam sẽ là mắt xích quan trọng trong chuỗi cung ứng toàn cầu Năm 2045, ngành bán dẫn Việt Nam sẽ là mắt xích quan trọng trong chuỗi cung ứng toàn cầu
Những định dạng “quyền lực mới” của báo chí Những định dạng “quyền lực mới” của báo chí
Tổng cục Thuế quyết liệt triển khai hiệu quả quản lý thuế đối với hoạt động thương mại điện tử Tổng cục Thuế quyết liệt triển khai hiệu quả quản lý thuế đối với hoạt động thương mại điện tử
Apple bị phạt vì tự ý Apple bị phạt vì tự ý "theo dõi" vị trí người dùng tại Hàn Quốc
mobiEdu: công cụ giảng dạy thông minh, tiên phong giáo dục số mobiEdu: công cụ giảng dạy thông minh, tiên phong giáo dục số
Cần Thơ được chuyển mục đích sử dụng đất để thực hiện Khu đô thị và Khu công nghệ thông tin tập trung Cần Thơ được chuyển mục đích sử dụng đất để thực hiện Khu đô thị và Khu công nghệ thông tin tập trung
Thủ tướng: Chuyển đổi số là công cụ quan trọng để hỗ trợ thực thi công lý Thủ tướng: Chuyển đổi số là công cụ quan trọng để hỗ trợ thực thi công lý
AI và báo chí hiện đại AI và báo chí hiện đại
Chủ tịch TPHCM đề xuất trí tuệ nhân tạo làm thay thư ký Chủ tịch TPHCM đề xuất trí tuệ nhân tạo làm thay thư ký
Quốc hội ban hành nghị quyết về chương trình xây dựng luật, pháp lệnh 2025 Quốc hội ban hành nghị quyết về chương trình xây dựng luật, pháp lệnh 2025