Se han revelado múltiples vulnerabilidades de seguridad en varias aplicaciones y componentes del sistema dentro de los dispositivos Xiaomi con Android.
«Las vulnerabilidades en Xiaomi llevaron al acceso a actividades, receptores y servicios arbitrarios con privilegios del sistema, robo de archivos arbitrarios con privilegios del sistema, [and] divulgación del teléfono, la configuración y los datos de la cuenta Xiaomi», dijo la empresa de seguridad móvil Oversecured dicho en un informe compartido con The Hacker News.
Las 20 deficiencias afectan diferentes aplicaciones y componentes como:
- Galería (com.miui.gallery)
- Obtener aplicaciones (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Servicios telefónicos (com.android.phone)
- Cola de impresión (com.android.printspooler)
- Seguridad (com.miui.securitycenter)
- Componente principal de seguridad (com.miui.securitycore)
- Configuración (com.android.settings)
- CompartirMe (com.xiaomi.midrop)
- Seguimiento del sistema (com.android.traceur), y
- Nube Xiaomi (com.miui.cloudservice)
Algunas de las fallas notables incluyen un error de inyección de comando de shell que afecta la aplicación System Tracing y fallas en la aplicación Configuración que podrían permitir el robo de archivos arbitrarios, así como la filtración de información sobre dispositivos Bluetooth, redes Wi-Fi conectadas y contactos de emergencia.
Vale la pena señalar que, si bien los servicios telefónicos, la cola de impresión, la configuración y el seguimiento del sistema son componentes legítimos del proyecto de código abierto de Android (AOSP), han sido modificados por el fabricante chino de teléfonos para incorporar funciones adicionales, lo que ha provocado estos fallos.
También se descubre un defecto de corrupción de memoria impactando la aplicación GetApps, que, a su vez, se origina en una biblioteca de Android llamada LiveEventBus Eso, según Oversecured, fue informado a los mantenedores del proyecto hace más de un año y permanece sin parchear hasta la fecha.
Se ha descubierto que la aplicación Mi Video utiliza intenciones implícitas para enviar información de la cuenta Xiaomi, como nombre de usuario y dirección de correo electrónico a través de transmisionesque podría ser interceptado por cualquier aplicación de terceros instalada en los dispositivos utilizando sus propios receptores de transmisión.
Oversecured dijo que los problemas se informaron a Xiaomi en un lapso de cinco días, del 25 al 30 de abril de 2024. Se recomienda a los usuarios que apliquen las últimas actualizaciones para mitigar posibles amenazas.