Эксперт по информационной безопасности подразделения Threat Intelligence компании Microsoft Димитриос Валсамарас обнаружил уязвимость в приложениях, которые по умолчанию установлены на смартфонах Xiaomi, Redmi и Poco, а также доступны в «Play Маркете» устройствам любых других брендов. «Дыра» получила условное название Dirty Stream («Поток грязи»), она позволяет злоумышленнику заменять системные файлы любыми другими.
Проблема заключается в том, что разработчики из Xiaomi не внедрили в приложение стандартный для Android инструмент проверки безопасности входящих файлов. Из-за этого хакер может удалённо направить на устройство любой файл и подменить им системные данные без ведома пользователя. Вредоносный код может использоваться с различными целями — например, для кражи фотографий и видео из галереи, перехвата логинов и паролей от сайтов и приложений (включая банковские), перехвата SMS-сообщений, организации бот-ферм и спам-рассылок, оформления платных подписок и многого другого.
Уязвимые приложения:
— File Manager (com.xiaomi.fileexplorer)
— Gallery (com.miui.gallery)
— GetApps (com.xiaomi.mipicks)
— Mi Video (com.miui.videoplayer)
— MIUI Bluetooth (com.xiaomi.bluetooth)
— Phone Services (com.android.phone)
— Print Spooler (com.android.printspooler)
— Security (com.miui.securitycenter)
— Security Core Component (com.miui.securitycore)
— Settings (com.android.settings)
— ShareMe (com.xiaomi.midrop)
— System Tracing (com.android.traceur)
— Xiaomi Cloud (com.miui.cloudservice)
Эти приложения установлены на всех смартфонах, выпущенных компанией Xiaomi, а, к примеру, File Manager был скачан из «Play Маркета» более миллиарда раз. Аналогичная уязвимость также обнаружена в приложении WPS Office более чем с полумиллиардом установок из официального магазина Google. Эксперты опасаются, что она есть и в других популярных программах, пользователи которых даже подозревают, что их смартфоны подвержены хакерским атакам.
Подписаться на iGuides в Telegram, чтобы узнать обо всем первым