Công ty bảo mật di động Oversecured (Hoa Kỳ) cho biết: “Các lỗ hổng trong thiết bị Xiaomi có thể dẫn đến việc truy cập vào các hoạt động, thành phần và dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp tùy ý, gây lộ lọt , thông tin cài đặt và tài khoản Xiaomi”.
Các lỗ hổng ảnh hưởng đến nhiều ứng dụng và thành phần khác nhau, bao gồm: Gallery (com.miui.gallery); GetApps (com.xiaomi.mipicks); Mi Video (com.miui.videoplayer); MIUI Bluetooth (com.xiaomi.bluetooth); Phone Services (com.android.phone); Print Spooler (com.android.printspooler); Security (com.miui.securitycenter); Security Core Component (com.miui.securitycore); Settings (com.android.settings); ShareMe (com.xiaomi.midrop); System Tracing (com.android.traceur) và Xiaomi Cloud (com.miui.cloudservice).
Một số đáng chú ý bao gồm lỗi Command injection ảnh hưởng đến ứng dụng Theo dõi hệ thống (System Tracing) và các lỗi trong ứng dụng Cài đặt (Settings) có thể cho phép đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng WiFi được kết nối và danh bạ khẩn cấp.
Điều đáng chú ý là mặc dù Dịch vụ điện thoại (Phone Services), Dịch vụ máy in (Print Spooler), Cài đặt và Theo dõi hệ thống là các thành phần hợp pháp từ Dự án mã nguồn mở Android (AOSP), nhưng chúng đã được Xiaomi sửa đổi cho phù hợp với các chức năng bổ sung, dẫn đến những sai sót này.
Một lỗ hổng khác gây hỏng bộ nhớ ảnh hưởng đến ứng dụng GetApps, bắt nguồn từ một thư viện có tên LiveEventBus mà Oversecured cho biết là đã được báo cáo cho những người bảo trì dự án hơn một năm trước nhưng đến nay vẫn chưa được giải quyết.
Ứng dụng Mi Video được phát hiện đã sử dụng implicit intents để gửi thông tin tài khoản Xiaomi, chẳng hạn như tên người dùng và địa chỉ email thông qua kênh broadcasts, dẫn đến việc thông tin có thể bị truy cập trái phép bởi một ứng dụng bên thứ ba.
Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi từ cuối tháng 4/2023. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất ngay khi chúng có sẵn để giảm thiểu các mối đe dọa tiềm ẩn.
Hà Phương
08:00 | 06/03/2020
12:00 | 06/05/2024
14:00 | 04/05/2024
10:00 | 18/10/2024
Microsoft thông báo đã chính thức ngừng sử dụng giao thức PPTP (Point-to-Point Tunneling Protocol) và giao thức L2TP (Layer 2 Tunneling Protocol) trong các phiên bản Windows Server tương lai, khuyến nghị quản trị viên chuyển sang các giao thức khác có khả năng bảo mật cao hơn.
09:00 | 16/10/2024
Ngày 24/9, tại Hội thảo thường niên Duocon 2024, Nhà sản xuất nền tảng giáo dục trên di động Duolingo đã cho ra mắt những cải tiến mới dựa trên công nghệ trí tuệ nhân tạo (AI).
07:00 | 16/09/2024
Cơ quan An ninh Mạng và Cơ sở Hạ tầng của Hoa Kỳ (CISA) đã phát đi cảnh báo khẩn cấp về một lỗ hổng bảo mật đang bị khai thác trong hệ thống quản lý tài nguyên doanh nghiệp mã nguồn mở Apache OFBiz. Lỗ hổng có định danh CVE-2024-38856, đã được thêm vào danh sách các lỗ hổng đã bị khai thác của CISA.
14:00 | 22/07/2024
Hiệp hội An toàn thông tin Việt Nam (VNISA) phối hợp với Nhà xuất bản Bộ Thông tin và Truyền thông xuất bản cuốn sách IS-BOK 2.0 có tựa tiếng Việt là "Bộ Kiến thức cốt lõi về an toàn thông tin phiên bản 2.0". Đây là thỏa thuận hợp tác giữa các Hiệp hội An toàn thông tin khu vực ASEAN và được sự chuyển giao bản quyền của Hiệp hội các chuyên gia an toàn thông (AiSP) của Singapore.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Báo cáo của Kaspersky về Bối cảnh an ninh mạng cho các hệ thống điều khiển công nghiệp (ICS) trong quý 2 năm 2024 cho thấy các cuộc tấn công bằng mã độc tống tiền tăng 20% so với quý trước. Báo cáo nhấn mạnh mối đe dọa ngày càng gia tăng đối với các lĩnh vực cơ sở hạ tầng quan trọng trên toàn thế giới, trong đó mã độc tống tiền (ransomware) và phần mềm gián điệp gây ra những rủi ro đáng kể nhất.
13:00 | 25/10/2024
