Xiaomi enfrenta múltiples vulnerabilidades de seguridad en varias aplicaciones y componentes del sistema en dispositivos Android. Oversecured, una firma de seguridad móvil, reveló que estas vulnerabilidades podrían llevan al acceso no autorizado a actividades, receptores y servicios con privilegios de sistema, robo de archivos arbitrarios, y divulgación de datos del teléfono, configuración y cuenta Xiaomi.
Estas 20 deficiencias afectan diferentes aplicaciones y componentes, incluyendo Galería, GetApps, Mi Video, MIUI Bluetooth, Servicios de Teléfono, Administrador de Impresión, Seguridad, Componente principal de Seguridad, Configuración, ShareMe, Rastreo de Sistema y Xiaomi Cloud.
Algunas de las deficiencias destacadas incluyen un error de inyección de comandos de shell que afecta a la aplicación de Rastreo de Sistema y defectos en la aplicación Configuración que podrían permitir el robo de archivos arbitrarios, así como la filtración de información sobre dispositivos Bluetooth, redes Wi-Fi conectadas y contactos de emergencia.
Además, se ha encontrado una vulnerabilidad de corrupción de memoria en la aplicación GetApps, proveniente de una biblioteca de Android llamada LiveEventBus, la cual aún no ha sido parcheada. Paralelamente, la aplicación Mi Video utiliza intenciones implícitas para enviar información personal a través de difusiones, lo que podría ser interceptado por aplicaciones de terceros.
Estas vulnerabilidades se reportaron a Xiaomi del 25 al 30 de abril de 2024. Para mitigar posibles amenazas, se recomienda a los usuarios aplicar las últimas actualizaciones.
Vía The Hacker News
