Xiaomi スマートフォンには、システム コンポーネントとアプリケーションに複数の脆弱性があることが判明しました。
セキュリティ調査会社オーバーセキュアが明らかにした。
2023年に調査を開始し、悪意のある攻撃者が簡単にアクセスできる可能性のある既存の抜け穴を20以上発見した。
さらに、2023年4月25日から4月30日までに調査結果をXiaomiに報告したが、すべてが修正されたわけではない。
これによると報告、Xiaomi チームの監督により、「」へのアクセスが許可されました。システム権限による任意のアクティビティ、受信機、およびサービス、システム権限による任意のファイルの盗難、電話機、設定、および Xiaomi アカウント データの漏洩、およびその他の脆弱性。」
セキュリティ上の欠陥の理由
各OEMを含むシャオミは、Google の AOSP コードベースに依存して、デバイス用のアプリとサービスを作成します。
ただし、これらの変更は抜け穴がないか徹底的にチェックされていないため、デバイスがセキュリティ上の事故にさらされる可能性があります。
発見されたアプリのほとんどはAOSPからのもので、Xiaomiの「機能改善」によりユーザーエクスペリエンスは明らかに向上したが、その代償は重大だった。
脆弱性による影響を受けるアプリ
影響を受けるアプリのリストは長く、次のような一般的に使用されるアプリがすべて含まれています。
- ギャラリー (com.android.printspooler)
- 印刷スプーラー (com.android.printspooler)
- セキュリティ (com.miui.securitycenter)
- セキュリティコアコンポーネント (com.miui.securitycore)
- 設定 (com.android.settings)
- GetApps (com.xiaomi.mipicks)
- Mi ビデオ (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- 電話サービス (com.android.phone)
- ShareMe (com.xiaomi.midrop)
- システム トレース (com.android.traceur)
- Xiaomi クラウド (com.miui.cloudservice)
設定アプリには 4 つの脆弱性が含まれており、攻撃者がサービスを任意のアプリにバインドし、Wi-Fi および Bluetooth データ、システム ファイル、Xiaomi アカウントの詳細、電話番号を読み取ることができます。
App Store に似たサービスである GetApps にも、メモリ破損を引き起こし、Xiaomi セッション トークンなどの機密データが漏洩する可能性がある 4 つの主要なセキュリティ上の欠陥がありました。
Overcured は、Xiaomi がこの欠陥を修正していないと述べましたが、これは既存のユーザーにとって悪いニュースです。
これらの調査結果は 1 年以上前のことであり、Xiaomi などの OEM がデバイスのセキュリティを確保するために注力している取り組みについて懸念を引き起こしています。
携帯電話をアップデートする
結局のところ、これらはすべての携帯電話 (Xiaomi 14 Ultra などの高級携帯電話を含む) に搭載されているシステム アプリであるため、個人データでブランドを信頼するのは困難です。
Xiaomiはこの最近の報道についてコメントしていない。
Xiaomi 電話を使用している場合は、最近公開されたシステム アップデートをすべてインストールしてください。これには、これらの脆弱性の一部 (またはすべて) に対するパッチが含まれている可能性があります。