อุปกรณ์ Android ของ Xiaomi ได้รับผลกระทบจากข้อบกพร่องหลายประการในแอปฯ และส่วนประกอบของระบบ

163/67 (IT) ประจำวันอังคารที่ 7 พฤษภาคม 2567

มีการเปิดเผยจากบริษัทรักษาความปลอดภัยมือถือ Oversecured ถึงช่องโหว่ด้านความปลอดภัยหลายประการในแอปพลิเคชันและส่วนประกอบต่างๆ ของระบบภายในอุปกรณ์ Xiaomi ที่ใช้ระบบ Android โดยอธิบายว่า “ช่องโหว่ใน Xiaomi นำไปสู่การเข้าถึงกิจกรรมตามอำเภอใจ ผู้รับและบริการที่มีสิทธิ์ของระบบ การขโมยไฟล์โดยพลการที่มีสิทธิ์ของระบบ และการเปิดเผยโทรศัพท์ การตั้งค่า และข้อมูลบัญชี Xiaomi” โดยมีข้อบกพร่อง 20 ข้อ ที่ส่งผลกระทบต่อแอปและส่วนประกอบต่างๆ เช่น

    – allery (com.miui.gallery)

    – GetApps (com.xiaomi.mipicks)

    – Mi Video (com.miui.videoplayer)

    – MIUI Bluetooth (com.xiaomi.bluetooth)

    – Phone Services (com.android.phone)

    – Print Spooler (com.android.printspooler)

    – Security (com.miui.securitycenter)

    – Security Core Component (com.miui.securitycore)

    – Settings (com.android.settings)

    – ShareMe (com.xiaomi.midrop)

    – System Tracing (com.android.traceur)

    – Xiaomi Cloud (com.miui.cloudservice)

ข้อบกพร่องที่น่าสังเกตบางประการ ได้แก่ จุดบกพร่องของการแทรกคำสั่งเชลล์ที่ส่งผลกระทบต่อแอป System Tracing และข้อบกพร่องในแอปการตั้งค่าที่อาจทำให้สามารถขโมยไฟล์โดยอำเภอใจ รวมถึงข้อมูลรั่วไหลเกี่ยวกับอุปกรณ์ Bluetooth เครือข่าย Wi-Fi ที่เชื่อมต่อ และผู้ติดต่อในกรณีฉุกเฉิน เป็นที่น่าสังเกตว่าแม้ว่าบริการโทรศัพท์, Print Spooler, การตั้งค่า และการติดตามระบบจะเป็นส่วนประกอบที่ถูกต้องตามกฎหมายจาก Android Open Source Project ( AOSP ) แต่ได้รับการแก้ไขโดยผู้ผลิตโทรศัพท์มือถือสัญชาติจีนเพื่อรวมฟังก์ชันการทำงานเพิ่มเติม ซึ่งนำไปสู่ข้อบกพร่องเหล่านี้    

นอกจากนี้ ยังค้นพบว่าเป็นข้อบกพร่องของหน่วยความจำที่ส่งผลกระทบต่อแอป GetApps ซึ่งในทางกลับกันมีต้นกำเนิดมาจากไลบรารี Android ชื่อ LiveEventBus ซึ่ง Oversecured กล่าวว่ามีการรายงานไปยังผู้ดูแลโครงการเมื่อกว่าปีที่แล้ว แต่ก็ยังคงไม่ได้รับการอัปเดตมาจนถึงปัจจุบัน อีกทั้งยังพบว่าแอป Mi Video ใช้เจตนาโดยนัยในการส่งข้อมูลบัญชี Xiaomi เช่น ชื่อผู้ใช้และที่อยู่อีเมลซึ่งอาจถูกดักจับข้อมูลโดยแอปของบุคคลที่สามที่ติดตั้งบนอุปกรณ์ ซึ่ง Oversecured กล่าวว่าปัญหาดังกล่าวได้รับการรายงานไปยัง Xiaomi ภายในระยะเวลาห้าวัน ตั้งแต่วันที่ 25 ถึง 30 เมษายน 2024 แล้ว ดังนั้น ผู้ใช้งานควรใช้การอัปเดตล่าสุดเพื่อบรรเทาภัยคุกคามที่อาจเกิดขึ้นโดยเร็ว

แหล่งข่าว https://thehackernews.com/2024/05/xiaomi-android-devices-hit-by-multiple.html