В приложениях и системных компонентах мобильных устройств от Xiaomi нашли ряд уязвимостей, открывающих возможность манипулировать произвольными файлами с системными привилегиями и получать контроль над аккаунтами владельцев Android-смартфонов.
О проблемах рассказали исследователи из компании Oversecured. В отчёте отмечается следующее: «Уязвимости в устройствах от Xiaomi приводят к несанкционированным действиям, получению доступа к службам, краже файлов, раскрытию информации о девайсе и аккаунтах владельца».
Среди затронутых проблемами компонентов:
- Gallery (com.miui.gallery)
- GetApps (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Phone Services (com.android.phone)
- Print Spooler (com.android.printspooler)
- Security (com.miui.securitycenter)
- Security Core Component (com.miui.securitycore)
- Settings (com.android.settings)
- ShareMe (com.xiaomi.midrop)
- System Tracing (com.android.traceur)
- Xiaomi Cloud (com.miui.cloudservice)
Наиболее опасные баги — возможность инъекции шелл-команды в приложении System Tracing, а также бреши в программе Settings, допускающие кражу произвольных файлов и раскрытие информации о подключённых Bluetooth-устройствах и сетях Wi-Fi.
Помимо этого, исследователи нашли уязвимость в приложении GetApps, корень которой кроется аж в библиотеке Android — LiveEventBus. А софт Mi Video пытается отправить данные об учётной записи пользователя в системе Xiaomi, такие как имя, адрес электронной почты и другие.
Эксперты Microsoft, в свою очередь, обнаружили новую технику атаки под названием Dirty Stream, которая позволяет вредоносным приложениям для Android перезаписывать файлы в домашних директориях других приложений. Уязвимость позволяет злоумышленникам выполнять на устройствах жертв произвольный код и красть из них различную информацию. Проблема затрагивает по меньшей мере пользователей приложений Xiaomi File Manager и WPS Office, которые имеют более 1,5 млрд установок. Об этом сообщает издание BleepingComputer.
Уязвимость связана с некорректным использованием системы Content Provider в Android, которая управляет безопасным доступом к структурированным данным, предназначенным для совместного использования различными приложениями. Данная система использует защитные меры, но их можно обойти путем некорректной имплементации кастомных намерений (intent), например использованием невалидированных имен файлов и путей в намерениях.
Атака Dirty Stream позволяет вредоносным приложениям отправлять файл с подмененным именем, используя пользовательское намерение. В результате целевое приложение выполняет или сохраняет файл в критически важном каталоге.
По словам исследователя Димитриоса Валсамараса, таких некорректных имплементаций очень много, и они затрагивают приложения, установленные более чем на четырех миллиардах устройств.
Microsoft сообщила об этой уязвимости разработчикам двух приложений: Xiaomi File Manager и WPS Office. Сообщается, что в обоих случаях разработчики оперативно отреагировали на предупреждение. Пока проблема решается, пользователям рекомендуется регулярно обновлять приложения и скачивать их только из надежных источников, таких как Google Play, чтобы минимизировать риск заражения вредоносными программами.
С заботой о вашей безопасности, команда Origin Security
