Recientemente, un informe de Oversecured ha revelado varias vulnerabilidades de seguridad en diversas aplicaciones y componentes del sistema de los dispositivos Xiaomi con Android. Estas debilidades pueden poner en riesgo los datos y la privacidad de los usuarios, lo que hace que la situación sea alarmante para quienes utilizan estos dispositivos.
Las fallas identificadas permiten, entre otras cosas:
- Acceso no autorizado a actividades, receptores y servicios con privilegios del sistema.
- Robo de archivos arbitrarios mediante acceso no autorizado con privilegios de sistema.
- Divulgación no intencionada de información sensible relacionada con teléfonos, configuraciones y datos de cuentas de Xiaomi.
(Informe completo sobre las vulnerabilidades)
Entre las aplicaciones y componentes afectados se encuentran:
- Galería (com.miui.gallery)
- Obtener aplicaciones (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Servicios telefónicos (com.android.phone)
- Cola de impresión (com.android.printspooler)
- Seguridad (com.miui.securitycenter)
- Núcleo de seguridad (com.miui.securitycore)
- Configuración (com.android.settings)
- Compárteme (com.xiaomi.midrop)
- Seguimiento del sistema (com.android.tracer)
- Nube Xiaomi (com.miui.cloudservice)
Ciertas vulnerabilidades, como un error de inyección de comando en la aplicación System Tracing, así como fallas en la aplicación de Configuración, podrían facilitar el robo arbitrario de archivos e información crítica en dispositivos Bluetooth y redes Wi-Fi conectadas.
Es importante señalar que, aunque algunos de estos componentes son parte del proyecto de código abierto de Android (AOSP), han sido modificados por Xiaomi para incluir características adicionales, lo que ha desencadenado estas vulnerabilidades. Este hecho pone de manifiesto las implicaciones que pueden tener las modificaciones realizadas por los fabricantes en el software de los dispositivos.
El reporte también menciona una preocupación sobre la vulnerabilidad de corrupción de memoria en la aplicación GetApps, que se relaciona con una biblioteca de Android conocida como LiveEventBus. Esta vulnerabilidad fue informada hace más de un año, pero no ha sido resuelta aún.
Los investigadores de Oversecured han indicado que se contactó a Xiaomi sobre estas vulnerabilidades entre el 25 y el 30 de abril de 2024, y se recomienda a todos los usuarios de dispositivos afectados que implementen las actualizaciones más recientes para mitigar estas amenazas.
En resumen, la seguridad de los usuarios de dispositivos Xiaomi con Android está en riesgo significativo debido a estas vulnerabilidades. Se instan a los usuarios a estar al tanto de las actualizaciones de software y a tomar medidas proactivas para proteger su información personal. Para más detalles, se puede consultar el informe completo en la página de Oversecured.
