Android çalıştıran Xiaomi cihazlarındaki çeşitli uygulamalarda ve sistem bileşenlerinde çok sayıda güvenlik açığı ortaya çıktı.
“Xiaomi’deki güvenlik açıkları, sistem ayrıcalıklarıyla keyfi faaliyetlere, alıcılara ve hizmetlere erişime, sistem ayrıcalıklarıyla rastgele dosyaların çalınmasına, [and] mobil güvenlik firması Oversecured, The Hacker News ile paylaşılan bir raporda, telefonun, ayarların ve Xiaomi hesap verilerinin ifşa edildiğini belirtti.
20 eksiklik, aşağıdakiler gibi farklı uygulamaları ve bileşenleri etkiliyor:
- Galeri (com.miui.gallery)
- GetApps (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Telefon Hizmetleri (com.android.phone)
- Yazdırma Biriktiricisi (com.android.printspooler)
- Güvenlik (com.miui.securitycenter)
- Güvenlik Çekirdek Bileşeni (com.miui.securitycore)
- Ayarlar (com.android.settings)
- ShareMe (com.xiaomi.midrop)
- Sistem İzleme (com.android.traceur) ve
- Xiaomi Bulut (com.miui.cloudservice)
Dikkate değer kusurlardan bazıları arasında, Sistem İzleme uygulamasını etkileyen bir kabuk komutu ekleme hatası ve Ayarlar uygulamasında, isteğe bağlı dosyaların çalınmasına ve ayrıca Bluetooth cihazları, bağlı Wi-Fi ağları ve acil durum kişileri hakkında bilgi sızıntısına neden olabilecek kusurlar yer alıyor.
Telefon Hizmetleri, Yazdırma Biriktiricisi, Ayarlar ve Sistem İzleme, Android Açık Kaynak Projesi’nin (AOSP) meşru bileşenleri olsa da, bunların Çinli cep telefonu üreticisi tarafından ek işlevler içerecek şekilde değiştirilerek bu kusurlara yol açtığını belirtmekte fayda var.
Ayrıca GetApps uygulamasını etkileyen bir bellek bozulması kusuru da keşfedildi; bu kusur, Oversecured’ın proje yöneticilerine bir yıl önce bildirildiğini ve bugüne kadar yama yapılmadan kaldığını söylediği LiveEventBus adlı bir Android kitaplığından kaynaklanıyor.
Mi Video uygulamasının, kullanıcı adı ve e-posta adresi gibi Xiaomi hesap bilgilerini yayınlar aracılığıyla göndermek için örtülü niyetler kullandığı ve bu bilgilerin, kendi yayın alıcılarını kullanan cihazlara yüklenen herhangi bir üçüncü taraf uygulaması tarafından ele geçirilebileceği tespit edildi.
Oversecured, sorunların 25 Nisan’dan 30 Nisan 2024’e kadar beş gün içinde Xiaomi’ye bildirildiğini söyledi. Kullanıcılara, olası tehditleri azaltmak için en son güncellemeleri uygulamaları tavsiye ediliyor.