163/67 (IT) ประจำวันอังคารที่ 7 พฤษภาคม 2567
มีการเปิดเผยจากบริษัทรักษาความปลอดภัยมือถือ Oversecured ถึงช่องโหว่ด้านความปลอดภัยหลายประการในแอปพลิเคชันและส่วนประกอบต่างๆ ของระบบภายในอุปกรณ์ Xiaomi ที่ใช้ระบบ Android โดยอธิบายว่า “ช่องโหว่ใน Xiaomi นำไปสู่การเข้าถึงกิจกรรมตามอำเภอใจ ผู้รับและบริการที่มีสิทธิ์ของระบบ การขโมยไฟล์โดยพลการที่มีสิทธิ์ของระบบ และการเปิดเผยโทรศัพท์ การตั้งค่า และข้อมูลบัญชี Xiaomi” โดยมีข้อบกพร่อง 20 ข้อ ที่ส่งผลกระทบต่อแอปและส่วนประกอบต่างๆ เช่น
– allery (com.miui.gallery)
– GetApps (com.xiaomi.mipicks)
– Mi Video (com.miui.videoplayer)
– MIUI Bluetooth (com.xiaomi.bluetooth)
– Phone Services (com.android.phone)
– Print Spooler (com.android.printspooler)
– Security (com.miui.securitycenter)
– Security Core Component (com.miui.securitycore)
– Settings (com.android.settings)
– ShareMe (com.xiaomi.midrop)
– System Tracing (com.android.traceur)
– Xiaomi Cloud (com.miui.cloudservice)
ข้อบกพร่องที่น่าสังเกตบางประการ ได้แก่ จุดบกพร่องของการแทรกคำสั่งเชลล์ที่ส่งผลกระทบต่อแอป System Tracing และข้อบกพร่องในแอปการตั้งค่าที่อาจทำให้สามารถขโมยไฟล์โดยอำเภอใจ รวมถึงข้อมูลรั่วไหลเกี่ยวกับอุปกรณ์ Bluetooth เครือข่าย Wi-Fi ที่เชื่อมต่อ และผู้ติดต่อในกรณีฉุกเฉิน เป็นที่น่าสังเกตว่าแม้ว่าบริการโทรศัพท์, Print Spooler, การตั้งค่า และการติดตามระบบจะเป็นส่วนประกอบที่ถูกต้องตามกฎหมายจาก Android Open Source Project ( AOSP ) แต่ได้รับการแก้ไขโดยผู้ผลิตโทรศัพท์มือถือสัญชาติจีนเพื่อรวมฟังก์ชันการทำงานเพิ่มเติม ซึ่งนำไปสู่ข้อบกพร่องเหล่านี้
นอกจากนี้ ยังค้นพบว่าเป็นข้อบกพร่องของหน่วยความจำที่ส่งผลกระทบต่อแอป GetApps ซึ่งในทางกลับกันมีต้นกำเนิดมาจากไลบรารี Android ชื่อ LiveEventBus ซึ่ง Oversecured กล่าวว่ามีการรายงานไปยังผู้ดูแลโครงการเมื่อกว่าปีที่แล้ว แต่ก็ยังคงไม่ได้รับการอัปเดตมาจนถึงปัจจุบัน อีกทั้งยังพบว่าแอป Mi Video ใช้เจตนาโดยนัยในการส่งข้อมูลบัญชี Xiaomi เช่น ชื่อผู้ใช้และที่อยู่อีเมลซึ่งอาจถูกดักจับข้อมูลโดยแอปของบุคคลที่สามที่ติดตั้งบนอุปกรณ์ ซึ่ง Oversecured กล่าวว่าปัญหาดังกล่าวได้รับการรายงานไปยัง Xiaomi ภายในระยะเวลาห้าวัน ตั้งแต่วันที่ 25 ถึง 30 เมษายน 2024 แล้ว ดังนั้น ผู้ใช้งานควรใช้การอัปเดตล่าสุดเพื่อบรรเทาภัยคุกคามที่อาจเกิดขึ้นโดยเร็ว
แหล่งข่าว https://thehackernews.com/2024/05/xiaomi-android-devices-hit-by-multiple.html