Birkaç güvenlik uzmanı yakın zamanda Xiaomi Android cihazlarının çeşitli uygulamaları ve sistem bileşenlerini etkileyen bir dizi güvenlik açıklarından muzdarip olduğunu keşfetti.
Bu güvenlik açıkları kullanıcıların veri gizliliği ve cihaz güvenliği açısından ciddi bir tehdit oluşturmaktadır. Xiaomi kullanıcıları, kişisel ve hassas bilgilerini tehlikeye atabilecek veri ihlallerine, siber saldırılara ve diğer güvenlik tehditlerine karşı savunmasız olabilir.
Mobil güvenlik firması Oversecured, Xiaomi’nin çok çeşitli uygulamalarını ve sistem bileşenlerini etkileyen 20 kritik kusuru belirleyerek güvenlik açıklarını açıkladı.
Bu güvenlik açıkları, bilgisayar korsanlarının kişisel veriler, finansal bilgiler ve diğer gizli bilgiler de dahil olmak üzere cihazlarda depolanan hassas bilgilere erişmesine olanak tanıyabilir.
Bu kusurlar kötüye kullanılırsa saldırganların cihazları ele geçirmesine, kötü amaçlı kod yerleştirmesine veya cihazın belleğinden veri çalmasına olanak tanıyabilir.
Güvenlik Açıklarının Niteliği
Keşfedilen güvenlik kusurları; Galeri, GetApps, Mi Video, MIUI Bluetooth, Telefon Hizmetleri, Yazdırma Biriktiricisi, Güvenlik, Güvenlik Çekirdek Bileşeni, Ayarlar, ShareMe, Sistem İzleme ve Xiaomi Bulut dahil olmak üzere birçok Xiaomi uygulamasını ve bileşenini kapsıyor.
En endişe verici güvenlik açıkları arasında, Sistem İzleme uygulamasında bulunan bir kabuk komutu ekleme hatası ve Ayarlar uygulamasında, isteğe bağlı dosyaların çalınmasına ve ayrıca Bluetooth cihazları, bağlı Wi-Fi ağları ve acil durum kişileri hakkında bilgilerin sızmasına olanak tanıyan kusurlar yer alıyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Telefon Hizmetleri, Yazdırma Biriktiricisi, Ayarlar ve Sistem İzleme gibi bu bileşenlerden bazılarının orijinal olarak Android Açık Kaynak Projesi’nin (AOSP) bir parçası olduğunu ancak Xiaomi tarafından ek işlevsellik içerecek şekilde değiştirildiğini ve bunun da bu güvenlik kusurlarına yol açtığını belirtmekte fayda var. .
Güvenlik açıkları, saldırganların sistem ayrıcalıklarıyla rastgele etkinliklere, alıcılara ve hizmetlere erişmesine, sistem ayrıcalıklarıyla rastgele dosyaları çalmasına ve hassas telefon ayarlarını ve Xiaomi hesap verilerini ifşa etmesine olanak tanıyabiliyor.
Bu durum potansiyel olarak veri hırsızlığı, kişisel bilgilere yetkisiz erişim ve cihazın ele geçirilmesi gibi çok çeşitli kötü amaçlı faaliyetlere yol açabilir.
Özellikle endişe verici bir kusur, GetApps uygulamasında LiveEventBus adlı bir Android kitaplığından kaynaklanan bir bellek bozulması sorunudur. Oversecured, bir yıl önce bildirilen ve hala yama yapılmayan bu kusurun, cihazda kötü amaçlı eylemler gerçekleştirmek için kullanılabileceğini söyledi.
Oversecured, keşif üzerine sorunları 25 Nisan’dan 30 Nisan 2024’e kadar beş gün içinde Xiaomi’ye bildirdi. Xiaomi o zamandan beri Oversecured ekibi tarafından bildirilen tüm güvenlik açıklarını düzelterek hiçbir kullanıcının bu güvenlik açıklarının oluşturduğu risklere maruz kalmamasını sağladı.
Kullanıcıların, olası tehditlere karşı önlem almak için cihazlarına en son güncellemeleri uygulamaları önerilir.
Xiaomi, Oversecured tarafından belirlenen güvenlik açıklarını ele alırken, yaygın olarak kullanılan bir markanın cihazlarında bu kadar önemli sayıda kusurun keşfedilmesi, bize mobil cihazların giderek daha karmaşık hale gelen tehditlere karşı güvenliğinin sağlanmasında devam eden zorlukları hatırlatıyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide