保安機構最新報告 小米系統保安最差
近日流動安全公司 Oversecured 發表報告,揭露了小米手機中存在 20 個安全漏洞,由於問題相當多,甚至有外國媒體直指小米系統保安最差。
Oversecured 表示受影響的程式和組件來自 MIUI 和 HyperOS,包括 MIUI Gallery 圖片庫、GetApps 應用商店、Mi Video 影片、MIUI Bluetooth 藍牙、Phone Services 電話服務、Print Spooler 打印排程、Security 保安、Security Core Component 保安核心組件、HyperOS Settings 系統設置、ShareMe 檔案分享、System Tracing 系統追蹤和 Xiaomi Cloud 小米雲。
其中最顯著的安全漏洞包括:
– System Tracing 系統追蹤的程式存在 Shell 指令注入漏洞;
– Phone Settings 電話設置程式可能被用作竊取任意文件;
– Mi Video 影片應用會透過廣播,向第三方程式洩露小米用戶帳號的用戶名和電郵;
– 藍牙設備、已連接的 Wi-Fi 網絡和緊急聯絡人則出現資訊外洩。
此外,GetApps 應用商店中的一個內存損壞漏洞,早在一年前已經向小美報告,但至今仍未修復。
雖然 Phone Services 電話服務、Print Spooler 打印排程、Settings 設置和 System Tracing 系統追蹤屬於 AOSP 組件,但小米對這些組件進行了修改,增加了額外的功能,從而導致這些漏洞的產生。報導指 Oversecured 向小米作出報告後,小米已經釋出了一個修正檔,但並非所有用戶都會及時下載和安裝,故此仍然有很大的潛在風險
資料來源:oversecured
