Nhiều lỗ hổng bảo mật đã được phát hiện trong các ứng dụng và thành phần hệ thống khác nhau trên các thiết bị Xiaomi chạy Android.
Công ty bảo mật di động Oversecured cho biết: “Các lỗ hổng trong Xiaomi có thể dẫn đến việc truy cập vào các hoạt động, thành phần và dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp tùy ý, gây lộ lọt dữ liệu điện thoại, thông tin cài đặt và tài khoản Xiaomi”.
Các lỗ hổng ảnh hưởng đến nhiều ứng dụng và thành phần khác nhau, bao gồm:
- Gallery (com.miui.gallery)
- GetApps (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Phone Services (com.android.phone)
- Print Spooler (com.android.printspooler)
- Security (com.miui.securitycenter)
- Security Core Component (com.miui.securitycore)
- Settings (com.android.settings)
- ShareMe (com.xiaomi.midrop)
- System Tracing (com.android.traceur)
- Xiaomi Cloud (com.miui.cloudservice)
Một số lỗ hổng đáng chú ý bao gồm lỗi Shell command injection ảnh hưởng đến ứng dụng Theo dõi hệ thống (System Tracing) và các lỗi trong ứng dụng Cài đặt (Settings) có thể cho phép đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng Wi-Fi được kết nối và danh bạ khẩn cấp.
Điều đáng chú ý là mặc dù Dịch vụ điện thoại (Phone Services) , Dịch vụ máy in (Print Spooler), Cài đặt và Theo dõi hệ thống là các thành phần hợp pháp từ Dự án mã nguồn mở Android (AOSP), nhưng chúng đã được Xiaomi sửa đổi cho phù hợp với các chức năng bổ sung, dẫn đến những sai sót này.
Cũng được phát hiện là một lỗ hổng hây hỏng bộ nhớ ảnh hưởng đến ứng dụng GetApps, lỗi này bắt nguồn từ một thư viện Android có tên LiveEventBus mà Oversecured cho biết là đã được báo cáo cho những người bảo trì dự án hơn một năm trước nhưng đến nay vẫn chưa được giải quyết.
Ứng dụng Mi Video được phát hiện đã sử dụng implicit intents để gửi thông tin tài khoản Xiaomi, chẳng hạn như tên người dùng và địa chỉ email thông qua kênh broadcasts, dẫn đến việc thông tin có thể bị truy cập trái phép bởi một ứng dụng bên thứ ba.
Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi từ cuối tháng 4 năm 2023. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất ngay khi chúng có sẵn để giảm thiểu các mối đe dọa tiềm ẩn.
Nguồn: thehackernews.com
Cơ quan Giao thông vận tải của Phần Lan (Traficom) đang cảnh báo về một chiến dịch phần mềm độc hại nhắm vào người dùng Android đang diễn ra nhằm xâm phạm các tài khoản ngân hàng trực tuyến.
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
Các nhà chức trách đang điều tra một chiến thuật tội phạm mạng mới tinh vi sử dụng trí tuệ nhân tạo để mạo danh mọi người trong các cuộc gọi video trực tiếp.
Một báo cáo mới từ cơ quan giám sát người tiêu dùng tiết lộ rằng người Úc đã báo cáo số vụ lừa đảo kỷ lục vào năm ngoái, với tổng thiệt hại lên tới 2,7 tỷ USD. Báo cáo của ACCC dựa trên dữ liệu từ nhiều cơ quan bao gồm Scamwatch, ReportCyber, Sàn giao dịch tội phạm tài chính Úc, IDCARE và Ủy ban đầu tư và chứng khoán Úc.
Ngày 1/5, Công an TP Long Khánh (Đồng Nai) đã khởi tố vụ án, khởi tố bị can đối với Nguyễn Văn Quang (SN 1990, ngụ huyện Xuyên Mộc, tỉnh Bà Rịa - Vũng Tàu) để điều tra về tội lừa đảo chiếm đoạt tài sản thông qua hình thức mạo danh công an nhân nhân để tạo lòng tin.
Công an TP. Hà Nội ngày 15/4 cho biết, Cơ quan An ninh điều tra - Công an TP. Hà Nội đã khởi tố bị can đối với 6 đối tượng về tội "Lừa đảo chiếm đoạt tài sản" liên quan đến việc cấp chứng chỉ tiếng Anh.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
