Эксперты IBM X-Force обнаружили в использующемся в смартфонах Xiaomi пользовательском интерфейсе MIUI уязвимость, позволяющую удаленно выполнить произвольный код. Всем пользователям рекомендуется немедленно выполнить обновление системы до безопасной версии.
Рассматриваемая уязвимость была обнаружена в аналитическом компоненте, собирающем данные о работе устройства. Как выяснили исследователи IBM X-Force, данный компонент имеет собственный механизм обновлений, который может быть скомпрометирован в ходе man-in-the-middle атаки. Общение с сервером в ходе обновления осуществляется по нешифрованному протоколу HTTP, а пакеты обновлений не верифицируются. Уязвимый компонент используется как минимум в четырех стандартных приложениях Xiaomi, в том числе в дефолтном браузере.
MIUI — альтернативная прошивка для Android, разработанная Xiamoi и используемая во всех смартфонах от этого китайского производителя. Уязвимыми являются версии, вышедшие до MIUI Global Stable 7.2. По оценкам исследователей, только в прошлом году китайская компания продала 70 миллионов смартфонов со скомпрометированной версией прошивки.
