Ευπάθεια στο MIUI της Xiaomi, ενημερώστε τις συσκευές σας

Μια ευπάθεια επιτρέπει απομακρυσμένη εκτέλεση κώδικα (remote execution ή RCE) στην εφαρμογή της για το λειτουργικό , σε όλες τις εκδόσεις της εφαρμογής πριν την MIUI Global Stable 7.2.

Η ευπάθεια υπάρχει στο συστατικό MIUI Analytics, το οποίο χρησιμοποιείται από διάφορες εφαρμογές του Android για τη συλλογή δεδομένων του τρόπου που χρησιμοποιείται η εφαρμογή τους στη συσκευή του χρήστη.xiaomi a

Σύμφωνα με την ομάδα Πληροφοριών Ασφαλείας της IBM, αυτό το στοιχείο έχει έναν μηχανισμό αυτόματης ενημέρωσης που επιτρέπει επιθέσεις MITM (Man-in-the-middle) και μπορεί να χρησιμοποιηθεί για την διανομή κακόβουλου λογισμικού.

Επειδή το MIUI analytics δεν επαληθεύει τη λήψη πακέτου ένας εισβολέας έχει τη δυνατότητα να εκτελέσει τον κώδικά του στο με δικαιώματα εξαιρετικά προνομιακού χρήστη στο σύστημα Android.

Το πρόβλημα έγκειται στο γεγονός ότι το MIUI analytics χρησιμοποιεί HTTP για την αναζήτηση κάποιου διακομιστή ενημερώσεων αλλά και για τη λήψη πακέτων. Ένας εισβολέας που παρακολουθεί τα αιτήματα ενημέρωσης, μπορεί να χρησιμοποιήσει βασικές τεχνικές πλαστογράφησης, και να απαντήσει στο όνομα του .

  Firefox 105.0.2 λήψη πριν την επίσημη κυκλοφορία

Αυτή η απάντηση φυσικά περιέχει συνδέσμους προς κάποιο κακόβουλο πακέτο APK.

Η περίπτωση της ευπάθειας στο λογισμικό της Xiaomi, είναι πολύ επικίνδυνη, επειδή η εταιρεία είναι ο τρίτος μεγαλύτερος κατασκευαστής στον κόσμο, μετά την Samsung και την Apple.

Η εταιρεία διέθεσε πάνω από 70 εκατομμύρια συσκευές μόνο το , οπότε καταλαβαίνετε ότι πάρα πολλοί βρίσκονται σε κίνδυνο, ειδικά αυτοί που δεν έχουν την πιο πρόσφατη έκδοση του λειτουργικού συστήματος.

Οι ερευνητές ενημέρωσαν την Χiaomi για το θέμα από τον περασμένο Ιανουάριο, και η εταιρεία διέθεσε γρήγορα μια νέα ενημερωμένη έκδοση του MIUI που επιδιορθώνει την ευπάθεια.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).