Los dispositivos Android Xiaomi sufren múltiples fallas en aplicaciones y componentes del sistema

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Se han revelado múltiples vulnerabilidades de seguridad en varias aplicaciones y componentes del sistema dentro de los dispositivos Xiaomi con Android.

“Las vulnerabilidades en Xiaomi llevaron al acceso a actividades arbitrarias, receptores y servicios con privilegios del sistema, robo de archivos arbitrarios con privilegios del sistema, [y] divulgación del teléfono, configuraciones y datos de la cuenta Xiaomi”, dijo la firma de seguridad móvil Oversecured en un informe compartido. con Las noticias de los hackers.

Las 20 deficiencias afectan diferentes aplicaciones y componentes como:

Galería (com.miui.gallery)

Obtener aplicaciones (com.xiaomi.mipicks)

Mi Video (com.miui.videoplayer)

MIUI Bluetooth (com.xiaomi.bluetooth)

Servicios telefónicos (com.android.phone)

Cola de impresión (com.android.printspooler)

Seguridad (com.miui.securitycenter)

Componente principal de seguridad (com.miui.securitycore)

Configuración (com.android.settings)

CompartirMe (com.xiaomi.midrop)

Seguimiento del sistema (com.android.traceur), y

Nube Xiaomi (com.miui.cloudservice)

Algunas de las fallas notables incluyen un error de inyección de comando de shell que afecta la aplicación System Tracing y fallas en la aplicación Configuración que podrían permitir el robo de archivos arbitrarios, así como la filtración de información sobre dispositivos Bluetooth, redes Wi-Fi conectadas y contactos de emergencia.

Vale la pena señalar que, si bien los servicios telefónicos, la cola de impresión, la configuración y el seguimiento del sistema son componentes legítimos del Proyecto de código abierto de Android (AOSP), el fabricante chino de teléfonos los modificó para incorporar funcionalidades adicionales, lo que generó estas fallas.

También se descubrió una falla de corrupción de memoria que afecta a la aplicación GetApps, que, a su vez, se origina en una biblioteca de Android llamada LiveEventBus que, según Oversecured, se informó a los mantenedores del proyecto hace más de un año y permanece sin parchear hasta la fecha.

Se ha descubierto que la aplicación Mi Video utiliza intenciones implícitas para enviar información de la cuenta Xiaomi, como el nombre de usuario y la dirección de correo electrónico a través de transmisiones, que podrían ser interceptadas por cualquier aplicación de terceros instalada en los dispositivos que utilicen sus propios receptores de transmisión.

Oversecured dijo que los problemas se informaron a Xiaomi en un lapso de cinco días, del 25 al 30 de abril de 2024. Se recomienda a los usuarios que apliquen las últimas actualizaciones para mitigar posibles amenazas.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *