Công ty bảo mật di động Oversecured vừa phát hiện các lỗ hổng nghiêm trọng trên điện thoại Xiaomi, cho phép kẻ gian truy cập vào các hoạt động, dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp tin và thực hiện nhiều hành vi nguy hiểm khác.
Theo báo cáo của Oversecured, 12 ứng dụng Android trên điện thoại Xiaomi bị ảnh hưởng bởi các lỗ hổng gồm có:
- Gallery (com.miui.gallery)
- GetApps (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Phone Services (com.android.phone)
- Print Spooler (com.android.printspooler)
- Security (com.miui.securitycenter)
- Security Core Component (com.miui.securitycore)
- Settings (com.android.settings)
- ShareMe (com.xiaomi.midrop)
- System Tracing (com.android.traceur)
- Xiaomi Cloud (com.miui.cloudservice)
Điều đáng lo ngại là các lỗ hổng này không chỉ xuất hiện trên các ứng dụng do Xiaomi phát triển, mà còn ảnh hưởng đến các thành phần cốt lõi của Android như Phone Services, Print Spooler, Settings và System Tracing. Những thành phần này đã được Xiaomi sửa đổi để bổ sung tính năng, dẫn đến những sai sót bảo mật, cho phép kẻ gian đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng Wi-Fi được kết nối và danh bạ khẩn cấp.
Ngoài ra, các nhà nghiên cứu cũng phát hiện một lỗ hổng hỏng bộ nhớ trong ứng dụng GetApps, bắt nguồn từ thư viện Android có tên LiveEventBus. Lỗi này đã được báo cáo cho dự án hơn một năm trước nhưng vẫn chưa được vá.
Oversecured đã thông báo cho Xiaomi về các vấn đề này từ ngày 25/4. Người dùng điện thoại Xiaomi nên cập nhật lên phiên bản mới nhất để giảm thiểu nguy cơ bị tấn công.