Xiaomi-смартфоны на Android содержат ряд дыр, открывающих доступ к данным

В приложениях и системных компонентах мобильных устройств от Xiaomi нашли ряд уязвимостей, открывающих возможность манипулировать произвольными файлами с системными привилегиями и получать контроль над аккаунтами владельцев Android-смартфонов.

О проблемах рассказали исследователи из компании Oversecured. В отчёте отмечается следующее:

«Уязвимости в устройствах от Xiaomi приводят к несанкционированным действиям, получению доступа к службам, краже файлов, раскрытию информации о девайсе и аккаунтах владельца».

Среди затронутых проблемами компонентов присутствуют:

• Gallery (com.miui.gallery)
• GetApps (com.xiaomi.mipicks)
• Mi Video (com.miui.videoplayer)
• MIUI Bluetooth (com.xiaomi.bluetooth)
• Phone Services (com.android.phone)
• Print Spooler (com.android.printspooler)
• Security (com.miui.securitycenter)
• Security Core Component (com.miui.securitycore)
• Settings (com.android.settings)
• ShareMe (com.xiaomi.midrop)
• System Tracing (com.android.traceur), and
• Xiaomi Cloud (com.miui.cloudservice)

Наиболее опасные баги — возможность инъекции шелл-команды в приложении System Tracing, а также бреши в программе Settings, допускающие кражу произвольных файлов и раскрытие информации о подключённых Bluetooth-устройствах и сетях Wi-Fi.

Помимо этого, исследователи нашли уязвимость в приложении GetApps, корень которой кроется аж в библиотеке Android — LiveEventBus. А софт Mi Video пытается отправить данные об учётной записи пользователя в системе Xiaomi: имя, адрес электронной почты и т. п.