XiaomiのAndroidデバイスに20件の脆弱性、アップデートを
マイナビニュース / 2024年5月9日 15時47分
Oversecuredはこのほど、「20 Security Issues Found in Xiaomi Devices|Oversecured Blog」において、XiaomiのAndroidデバイスから複数の脆弱性を発見したと報じた。これら脆弱性を悪用されると、システム権限を悪用して任意の活動やファイルを窃取される可能性がある。
○脆弱性の情報
発見された脆弱性とその影響を受けるコンポーネントは次のとおり。
セキュリティアプリ(com.miui.securitycenter) - システム権限によるインテント(Intent)操作の脆弱性
システムトレースアプリ(com.android.traceur) - シェルコマンドインジェクションの脆弱性。Androidオープンソースプロジェクト(ASOP: Android Open Source Project)にて開発されているアプリだが、Xiaomiにより脆弱性を含む変更が加えられている
設定アプリ(com.android.settings) - 任意のサービスをシステム権限にてバインドする脆弱性。Androidオープンソースプロジェクトにて開発されているアプリだが、Xiaomiにより脆弱性を含む変更が加えられている
設定アプリ(com.android.settings) - システム権限にて任意のファイルを窃取できる脆弱性。Xiaomiにより脆弱性を含む変更が加えられている
設定アプリ(com.android.settings) - 暗黙的なブロードキャストによりBluetoothおよびWi-Fiデータが公開される脆弱性。Xiaomiにより脆弱性を含む変更が加えられている
設定アプリ(com.android.settings) - 暗黙的なアクティビティーインテント(Intent)によりXiaomiアカウント、Wi-Fi、Bluetoothデータ、電話番号が公開される脆弱性。Xiaomiにより脆弱性を含む変更が加えられている
GetAppsアプリ(com.xiaomi.mipicks) - メモリ破損の脆弱性
GetAppsアプリ(com.xiaomi.mipicks) - インテント(Intent)操作の脆弱性。この脆弱性は2種類の攻撃手法が示されている
GetAppsアプリ(com.miui.videoplayer) - 暗黙的なアクティビティーインテント(Intent)によりセッショントークンを公開する脆弱性
セキュリティコアコンポーネント(com.miui.securitycore) - 現在のユーザーを自動的に削除する脆弱性
セキュリティコアコンポーネント(com.miui.securitycore) - システム権限にて任意のブロードキャスト受信機を起動する脆弱性
MIUI Bluetoothアプリ(com.xiaomi.bluetooth) - パストラバーサルの脆弱性。攻撃者は高い権限にて任意のファイルを窃取する可能性がある
MIUI Bluetoothアプリ(com.xiaomi.bluetooth) - 暗黙的なブロードキャストインテント(Intent)によりBluetoothデータが公開される脆弱性
電話サービスアプリ(com.android.phone) - 暗黙的なアクティビティーインテント(Intent)により電話データが公開される脆弱性。Androidオープンソースプロジェクトにて開発されているアプリだが、Xiaomiにより脆弱性を含む変更が加えられている
ShareMeアプリ(com.xiaomi.midrop) - プライベートデータの暗号化にハードコーディングされたDES鍵を使用する脆弱性。攻撃者は暗号を解読できる
ギャラリーアプリ(com.miui.gallery) - 任意のコンテンツプロバイダーへのアクセスを取得できる脆弱性
Xiaomi Cloudアプリ(com.xiaomi.mipicks) - 組み込みWebViewにおけるクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
印刷スプーラーアプリ(com.android.printspooler) - 任意のファイルに書き込みできる脆弱性。Androidオープンソースプロジェクトにて開発されているアプリだが、Xiaomiにより脆弱性を含む変更が加えられている
Mi Videoアプリ(com.miui.videoplayer) - 暗黙的なブロードキャストによりXiaomiアカウント情報が公開される脆弱性
○対策
これら脆弱性は昨年の2023年4月25日から30日までにXiaomiに報告されている。一部のセキュリティ脆弱性については未だに修正パッチが公開されていないが、XiaomiのAndroidデバイスを使用しているユーザーには、すべてのソフトウェアを最新版にアップデートすることが推奨されている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年4月に最も活発だったマルウェアを発表。国内ランキングで初の首位となったAndroxgh0stによる攻撃が世界的に急増
PR TIMES / 2024年5月17日 16時45分
-
InstagramやGoogleの公式アイコン悪用するAndroid狙うマルウェアに注意
マイナビニュース / 2024年5月13日 9時14分
-
複数のAndroidアプリにパストラバーサルの脆弱性、40億回以上ダウンロード
マイナビニュース / 2024年5月6日 19時43分
-
中国語IMEに通信データ漏洩の脆弱性、更新または乗り換えを推奨
マイナビニュース / 2024年5月1日 7時52分
-
オープンソースプロジェクトのソーシャルエンジニアリングに警戒を - OpenSSF/OpenJS
マイナビニュース / 2024年4月23日 15時43分
ランキング
-
1富士フイルム新機種に重くのしかかる為替レート 「X-T50」の値段は「X-T30 II」の倍以上に
ITmedia NEWS / 2024年5月18日 7時20分
-
2モトローラの新ミドル機は控えめ価格なのに、FeliCa&防水&薄型軽量に美しいデザインと贅沢な1台
ASCII.jp / 2024年5月19日 12時0分
-
3「思わず笑った」 ハードオフに4万4000円で売られていた“まさかのフィギュア”に仰天 「玄関に置いときたい」
ねとらぼ / 2024年5月19日 12時0分
-
4Apple Watchを外出時にほぼ持ち出さなくなった理由
ITmedia Mobile / 2024年5月19日 10時5分
-
5「こういうネーミングに弱い」 冷房機器の“秀逸すぎる”商品名に「吹いた」「耐えられなかった」
ねとらぼ / 2024年5月20日 8時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください