Oversecuredはこのほど、「20 Security Issues Found in Xiaomi Devices|Oversecured Blog」において、XiaomiのAndroidデバイスから複数の脆弱性を発見したと報じた。これら脆弱性を悪用されると、システム権限を悪用して任意の活動やファイルを窃取される可能性がある。

  • 20 Security Issues Found in Xiaomi Devices|Oversecured Blog

    20 Security Issues Found in Xiaomi Devices|Oversecured Blog

脆弱性の情報

発見された脆弱性とその影響を受けるコンポーネントは次のとおり。

  • セキュリティアプリ(com.miui.securitycenter) - システム権限によるインテント(Intent)操作の脆弱性
  • システムトレースアプリ(com.android.traceur) - シェルコマンドインジェクションの脆弱性。Androidオープンソースプロジェクト(ASOP: Android Open Source Project)にて開発されているアプリだが、Xiaomiにより脆弱性を含む変更が加えられている
  • 設定アプリ(com.android.settings) - 任意のサービスをシステム権限にてバインドする脆弱性。Androidオープンソースプロジェクトにて開発されているアプリだが、Xiaomiにより脆弱性を含む変更が加えられている
  • 設定アプリ(com.android.settings) - システム権限にて任意のファイルを窃取できる脆弱性。Xiaomiにより脆弱性を含む変更が加えられている
  • 設定アプリ(com.android.settings) - 暗黙的なブロードキャストによりBluetoothおよびWi-Fiデータが公開される脆弱性。Xiaomiにより脆弱性を含む変更が加えられている
  • 設定アプリ(com.android.settings) - 暗黙的なアクティビティーインテント(Intent)によりXiaomiアカウント、Wi-Fi、Bluetoothデータ、電話番号が公開される脆弱性。Xiaomiにより脆弱性を含む変更が加えられている
  • GetAppsアプリ(com.xiaomi.mipicks) - メモリ破損の脆弱性
  • GetAppsアプリ(com.xiaomi.mipicks) - インテント(Intent)操作の脆弱性。この脆弱性は2種類の攻撃手法が示されている
  • GetAppsアプリ(com.miui.videoplayer) - 暗黙的なアクティビティーインテント(Intent)によりセッショントークンを公開する脆弱性
  • セキュリティコアコンポーネント(com.miui.securitycore) - 現在のユーザーを自動的に削除する脆弱性
  • セキュリティコアコンポーネント(com.miui.securitycore) - システム権限にて任意のブロードキャスト受信機を起動する脆弱性
  • MIUI Bluetoothアプリ(com.xiaomi.bluetooth) - パストラバーサルの脆弱性。攻撃者は高い権限にて任意のファイルを窃取する可能性がある
  • MIUI Bluetoothアプリ(com.xiaomi.bluetooth) - 暗黙的なブロードキャストインテント(Intent)によりBluetoothデータが公開される脆弱性
  • 電話サービスアプリ(com.android.phone) - 暗黙的なアクティビティーインテント(Intent)により電話データが公開される脆弱性。Androidオープンソースプロジェクトにて開発されているアプリだが、Xiaomiにより脆弱性を含む変更が加えられている
  • ShareMeアプリ(com.xiaomi.midrop) - プライベートデータの暗号化にハードコーディングされたDES鍵を使用する脆弱性。攻撃者は暗号を解読できる
  • ギャラリーアプリ(com.miui.gallery) - 任意のコンテンツプロバイダーへのアクセスを取得できる脆弱性
  • Xiaomi Cloudアプリ(com.xiaomi.mipicks) - 組み込みWebViewにおけるクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性
  • 印刷スプーラーアプリ(com.android.printspooler) - 任意のファイルに書き込みできる脆弱性。Androidオープンソースプロジェクトにて開発されているアプリだが、Xiaomiにより脆弱性を含む変更が加えられている
  • Mi Videoアプリ(com.miui.videoplayer) - 暗黙的なブロードキャストによりXiaomiアカウント情報が公開される脆弱性

対策

これら脆弱性は昨年の2023年4月25日から30日までにXiaomiに報告されている。一部のセキュリティ脆弱性については未だに修正パッチが公開されていないが、XiaomiのAndroidデバイスを使用しているユーザーには、すべてのソフトウェアを最新版にアップデートすることが推奨されている。