Android: dispositivos Xiaomi enfrentam múltiplas falhas em aplicativos e componentes do sistema

android-dispositivos-xiaomi-enfrentam-multiplas-falhas-em-aplicativos-e-componentes-do-sistema

A Xiaomi está tendo que lidar com alguns problemas em seus dispositivos. Várias falhas de segurança foram divulgadas em vários aplicativos e componentes do sistema em dispositivos da empresa rodando Android.

Dispositivos Xiaomi enfrentam falhas em aplicativos e componentes do sistema Android

De acordo com a empresa de segurança móvel Oversecured em um relatório compartilhado com o The Hacker News, as vulnerabilidades na Xiaomi levaram ao acesso a atividades arbitrárias, receptores e serviços com privilégios de sistema, roubo de arquivos arbitrários com privilégios de sistema, [e] divulgação de telefone, configurações e dados da conta Xiaomi.

As 20 falhas identificadas afetam diferentes aplicativos e componentes como: Gallery (com.miui.gallery); GetApps (com.xiaomi.mipicks); Mi Video (com.miui.videoplayer); MIUI Bluetooth (com.xiaomi.bluetooth); Phone Services (com.android.phone); Print Spooler (com.android.printspooler); Segurança (com.miui.securitycenter); Security Core Component (com.miui.securitycore); Configurações (com.android.settings); ShareMe (com.xiaomi.midrop); System Tracing (com.android.traceur), e; Xiaomi Cloud (com.miui.cloudservice).

Conforme aponta o relatório, algumas das falhas incluem um bug de injeção de comando shell que afeta o aplicativo System Tracing e falhas no aplicativo Configurações que podem permitir o roubo de arquivos arbitrários, bem como vazar informações sobre dispositivos Bluetooth, redes Wi-Fi conectadas e contatos de emergência.

O The Hacker News pontua que é importante notar que, embora os serviços telefônicos, o spooler de impressão, as configurações e o rastreamento do sistema sejam componentes legítimos do Android Open Source Project (AOSP), eles foram modificados pelo fabricante chinês de aparelhos para incorporar funcionalidades adicionais, levando a essas falhas.

Além disso, também foi descoberta uma falha de corrupção de memória que afeta o aplicativo GetApps, que, por sua vez, se origina de uma biblioteca Android chamada LiveEventBus que Oversecured disse ter sido relatada aos mantenedores do projeto há mais de um ano e permanece sem correção até o momento.

Descobriu-se ainda, que o aplicativo Mi Video usa intenções implícitas para enviar informações da conta Xiaomi, como nome de usuário e endereço de e-mail por meio de transmissões, que podem ser interceptadas por qualquer aplicativo de terceiros instalado nos dispositivos usando seus próprios receptores de transmissão.

Relato das falhas e o que fazer

De acordo com a Oversecured, os problemas foram relatados à Xiaomi dentro de um período de cinco dias, de 25 a 30 de abril de 2024. Os usuários são aconselhados a aplicar as atualizações mais recentes para mitigar ameaças potenciais.

A Xiaomi tem um grande problema com essas falhas e, claro, deve estar trabalhando nelas. Em breve, a empresa deve lançar alguma atualização, para resolver esse problema de uma vez por todas.

Acesse a versão completa
Sair da versão mobile