Xiaomi smartfóny majú 20 závažných bezpečnostných slabín, varujú experti
Bezpečnostní analytici objavili v zariadeniach Xiaomi závažné bezpečnostné slabiny, ktoré dovoľujú hackerom aj prístup k citlivým údajom.
Spoločnosť Xiaomi je známa svojimi cenovo dostupnými a kvalitnými smartfónmi. Bezpečnostní experti z Oversecured sa však vo svojej novej analýze pozreli na tieto zariadenia hlbšie a zistili, že Xiaomi smartfóny obsahujú až 20 závažných bezpečnostných slabín.
Ako vo svojom príspevku vysvetľujú, tieto slabiny sa týkajú rôznych aplikácií spoločnosti a systémových komponentov.
Systémové slabiny dovoľujú útočníkovi požiadať užívateľa o začatie určitej aktivity, no bez toho, aby užívateľa informovali o tom, aké sú riziká udelenia tohto povolenia. Popritom by hacker dokázal meniť mená volajúcich na oboch stranách hovoru. Ďalšia odhalená slabina sa týkala aplikácie pre System Tracing. Túto aplikáciu Xiaomi upravilo tak, aby rozšírilo funkcionalitu dump systému.
Slabinu objavili analytici aj v nastaveniach, čo je aplikácia, ktorá pochádza priamo od Androidu, no opäť si ju Xiaomi upravilo v nadstavbe MIUI/HyperOS. Experti vysvetľujú, že Xiaomi má s najväčšou pravdepodobnosťou problém so Software Development Kit, pretože rovnaké slabiny našli v množstve Xiaomi aplikácií, ktoré sú nainštalované v zariadení.
Cez tieto slabiny môže hacker spustiť akúkoľvek potenciálne citlivú funkciu vo všetkých aplikáciách nainštalovaných na zariadení užívateľa. V nastaveniach sa nachádzajú aj funkcie, ktoré nepochádzajú priamo od Androidu, no Xiaomi si ich tam pridalo na ovládanie funkcií špecifických pre svoju nadstavbu. V kóde aplikácie nastavenia bezpečnostní experti odhalili aj slabinu, ktorá začne prezrádzať informácie o Bluetooth zariadeniach, núdzových kontaktoch a pripojených Wi-Fi sieťach.
Neprehliadnite
Slabín je veľa a sú vážne
Cez ďalšiu slabinu môže hacker získať prístup nielen k vyššie uvedeným dátam, no dostane sa aj k citlivým údajom vášho Xiaomi účtu a filtrovaných telefónnych číslach. Tu sa však slabiny nekončia. Ďalšou je slabina v knižnici LiveEventBus, na ktorú bezpečnostní analytici upozornili spoločnosť pred viac ako rokom. Zdá sa však, že slabinu dodnes spoločnosť Xiaomi neopravila.
Zneužitím slabiny môžu hackeri využiť Gson knižnicu na vytvorenie Java objektov vrátane tých, ktoré obsahujú natívne pointery. Tento útok môže vyústiť v poškodenie pamäte. Podobné slabiny objavili aj v PayPal aplikáciách.
Slabiny bezpečnostní experti objavili aj v Bluetooth systéme. Tieto slabiny umožňujú hackerom pristúpiť k informáciám o zariadení alebo ďalším Bluetooth dátam. Hackeri dokážu získať citlivé dáta ohľadom vášho účtu aj cez aplikáciu Mi Video. Cez túto aplikáciu dokážu kyberzločinci získať prístup k vášmu menu a e-mailovej adrese.
Bezpečnostní experti odhalili viac ako 20 závažných bezpečnostných slabín. Tie ešte stále existujú a týkajú sa nielen Xiaomi aplikácií, ale aj systémových aplikácií a funkcií nadstavby. Bezpečnostné slabiny umožňujú hackerom vykonávať rôzne formy útokov, od získania citlivých údajov, až po prístup k súborom na vašom telefóne alebo vykonávaniu škodlivých príkazov.
Najlepšou ochranou je vyhýbanie sa podozrivým webom a sťahovaniu obsahu z pirátskych alebo neoverených portálov. Odporúčame tiež antivírový softvér, ktorému dôverujete.
Komentáre