Уязвимость присутствует в компоненте MIUI и позволяет злоумышленникам удаленно выполнять произвольный код на устройстве под управлением операционной системы Android во всех версиях приложения до MIUI Global Stable 7.2
Уязвимость присутствует в компоненте MIUI и позволяет злоумышленникам удаленно выполнять произвольный код на устройстве под управлением операционной системы Android во всех версиях приложения до MIUI Global Stable 7.2.
MIUI (произносится: «ми ю ай») — пользовательский интерфейс для смартфонов на основе операционной системы Android с открытым исходным кодом. Код самой прошивки MIUI является закрытым. Разрабатывается компанией Xiaomi Tech.
Уязвимость присутствует в пакете com.xiaomi.analytics. Поскольку аналитический модуль не проверяет загруженный пакет, а слепо выполняет его, то злоумышленники имеют возможность выполнять свой код с разрешениями весьма привилегированного пользователя Android SYSTEM.
Техническая сторона проблемы опирается на тот факт, что аналитический пакет для обновления использует HTTP для запроса сервера обновления, а затем этот пакет загружается также с помощью HTTP. Злоумышленники могут перехватывать эти запросы на обновления и поступать уже с ними на своё усмотрение, например, подменить оригинальный ответ сервера на поддельный.
MIUI по умолчанию ставят на все устройства, которые выпускает Xiaomi, потому в отношении устройств Xiaomi уязвимость может быть наиболее опасна. Также MIUI портирован на примерно 340 различных типов устройств от Nexus, Samsung и HTC. Поэтому пользователям нужно как можно быстрее обновить свои устройства до самой последней версии.
Комментарии