Xiaomi Android ranjivosti
Sigurnosna kompanija Oversecured je otkrila nekoliko ranjivosti u Android aplikacijama kompanije Xiaomi koje globalno pogađaju korisnike. Istraživanje je otkrilo 20 ranjivosti povezanih sa neovlaštenim pristupom sistemskim podacima, krađom datoteka i curenjem informacija o telefonu i nalogu korisnika.
XIAOMI RANJIVOSTI
Sigurnosni istraživači su pružili informacije preko 20 ranjivosti koje utiču na različite aplikacije na Xiaomi uređajima. Ranjivosti su prijavljene kompaniji Xiaomi u roku od 5 dana, od 25. aprila do 30. aprila 2023. godine radi brzog otklanjanja. Ove ranjivosti predstavljaju rizik za korisničke podatke i uređaje, a radi se o uobičajenim aplikacijama kao što su:
- Gallery (com.miui.gallery),
- GetApps (com.xiaomi.mipicks),
- Mi Video (com.miui.videoplayer),
- MIUI Bluetooth (com.xiaomi.bluetooth),
- Phone Services (com.android.phone),
- Print Spooler (com.android.printspooler),
- Security (com.miui.securitycenter),
- Security Core Component (com.miui.securitycore),
- Settings (com.android.settings),
- ShareMe (com.xiaomi.midrop),
- System Tracing (com.android.traceur) i
- Xiaomi Cloud (com.miui.cloudservice).
Ranjivosti u ovim aplikacijama mogu ugroziti korisničke podatke tokom svakodnevnih aktivnosti kao što je listanje fotografija ili gledanje video zapisa. Na primjer, aplikacija Gallery (com.miui.gallery) je podložna problemima koji mogu dovesti do neovlaštenog pristupa medijskim datotekama korisnika. Aplikacije GetApps (com.xiaomi.mipicks), Mi Video (com.miui.videoplayer) i Settings (com.android.settings) imaju ranjivosti koje mogu dovesti do curenja podataka ili neovlaštenog pristupa, dovodeći privatnost korisnika u opasnost.
“Xiaomi ranjivosti dovele su do pristupa proizvoljnim aktivnostima, prijemnicima i uslugama sa sistemskim privilegijama, krađi proizvoljnih datoteka sa sistemskim privilegijama, [i] otkrivanju telefona, podešavanja i podataka Xiaomi naloga.”
– Oversecured –
Aplikacija MIUI Bluetooth (com.xiaomi.bluetooth) je još jedna ranjiva komponenta na Xiaomi uređajima. Istraživači su otkrili nedostatke u ovoj aplikaciji koji potencijalno mogu omogućiti napadačima da dobiju neovlašteni pristup Bluetooth konekcijama korisnika i ukradu osvetljive informacije koje se prenose preko ovih kanala.
Pored toga, Phone Services (com.android.phone), Print Spooler (com.android.printspooler), Security (com.miui.securitycenter), Security Core Component (com.miui.securitycore), ShareMe (com.xiaomi.midrop), System Tracing (com.android.traceur) i Ksiaomi Cloud (com.miui.cloudservice) takođe imaju ranjivosti koje mogu dovesti do curenja podataka, neovlaštenog pristupa ili drugih bezbjednosnih rizika za korisnike.
Važno je napomenuti da su ove ranjivosti otkrivene 2023. godine, i da je Xiaomi uložio napore da ispravi probleme. Predstavnik kompanije Xiaomi je izjavio da je kompanija uložila značajne napore da ispravi identifikovanih 20 ranjivosti. Kao rezultat toga, svi bezbjednosni problemi su riješeni, a Xiaomi sada uvjerava da su rizici za korisnike eliminisani. Korisnicima se savjetuje da instaliraju najnovija ažuriranja softvera kako bi osigurali maksimalnu zaštitu.
KONTROVERZNA PROŠLOST
Xiaomi, vodeći proizvođač pametnih telefona sa sjedištem u Kini, tokom godina se suočio sa brojnim zabrinutostima i kontroverzama u vezi sa privatnošću korisnika i bezbjednošću podataka. Evo pregleda nekih značajnih ranjivosti i incidenata u vezi sa kompanijom Xiaomi:
- Praksa prikupljanja podataka (2014): Istraživači su otkrili da Xiaomi uređaji šalju veliku količinu ličnih podataka na udaljene servere u Kini, izazivajući zabrinutost za privatnost korisnika. Kompanija je odgovorila ažuriranjem svog softvera kako bi korisnici mogli da odustanu od prikupljanja podataka,
- Prethodno instalirane aplikacije i bezbjednosne ranjivosti (2016): Kompanija za mobilnu bezbjednost otkrila je da unaprijed instalirane aplikacije na Xiaomi uređajima predstavljaju potencijalne bezbjednosne propuste, dovodeći milione korisnika u opasnost,
- Prikupljanje podataka pregledača u režimu “Incognito” (2018): Istraživači su otkrili da Xiaomi pregledači prikupljaju podatke o posjetama internet stranica korisnika čak i kada koriste “Incognito” režim, koji bi trebalo da pruži poboljšanu zaštitu privatnosti,
- Serveri u Rusiji i Singapuru – Forbes izveštaj (2020): Forbes izvještaj otkrio je da Xiaomi prikuplja detaljne podatke o korišćenju pregledača i telefona od svojih korisnika, a ove informacije završavaju na serverima u Rusiji i Singapuru. Ovo je izazvalo zabrinutost u vezi sa potencijalnom zloupotrebom podataka ili neovlaštenim pristupom osjetljivim korisničkim informacijama,
- Mogućnost cenzure (2021): Vlada Litvanije je savjetovala svoje građane da izbjegavaju korištenje Xiaomi telefona zbog mogućnosti cenzure ugrađenih u MIUI operativni sistem,
- Crna lista Ministarstva odbrane SAD (2021): U januaru je Ministarstvo odbrane SAD pod Trampovom administracijom dodalo Xiaomi na vojnu crnu listu, jer je povezan sa kineskom vojskom. Oni nisu zabranili Xiaomi, ali su zabranili američkim investitorima da kupuju ili drže hartije od vrijednosti kompanije. U maju 2021. godine Xiaomi je skinut sa liste.
- Slanje privatnih informacija (2023): Sigurnosni istraživači su su otkrili da ovi uređaji šalju velike količine ličnih podataka prodavcu uređaja i različitim pružaocima usluga kao što su Baidu i kineski operateri mobilne mreže bez eksplicitne saglasnosti korisnika. Ovo otkriće je doprinijelo je rastućoj zabrinutosti u vezi sa privatnošću podataka na Xiaomi uređajima,
- Otkrivanje 20 ranjivosti u Android aplikacijama (2023): Sigurnosna kompanija Oversecured je otkrila 20 ranjivosti u Android aplikacijama povezanih sa neovlaštenim pristupom sistemskim podacima, krađom datoteka i curenjem informacija o telefonu i nalogu korisnika.
ZAKLJUČAK
Tokom svoje istorije, Xiaomi se suočavao sa brojnim bezbjednosnim problemima u vezi sa privatnošću korisnika, unaprijed instaliranim aplikacijama i neovlaštenim prikupljanjem i prenosom podataka. Iako je Xiaomi otklonio sve ranjivosti koje je prijavila kompanija Oversecured, otkriće tako značajnog broja nedostataka na uređajima brenda koji se široko koristi služi kao podsjetnik na tekuće izazove u obezbjeđivanju mobilnih uređaja od sve sofisticiranijih prijetnji. Korisnicima se savjetuje da primjenjuju najnovija ažuriranja na svojim Xiaomi uređajima kako bi umanjili potencijalne rizike.
I dok su neki problemi riješeni ažuriranjem softvera ili promjenama politike, drugi ostaju razlog za zabrinutost kako među stručnjacima za bezbjednost tako i među korisnicima. Kako tehnologija nastavlja da se razvija, ključno je da kompanije kao što je Xiaomi daju prioritet bezbednosti u svojim proizvodima i da se brzo pozabave ranjivostima kako bi zaštitile svoje korisnike od potencijalne štete.
ZAŠTITA
Evo nekoliko koraka koje korisnici mogu preduzeti da bi se zaštiti od poznatih ranjivosti na Xiaomi Android uređajima:
- Korisnici treba da održavaju softver uređaja ažurnim tako što će redovno provjeravati i instalirati dostupna ažuriranja za operativni sistem i pojedinačne aplikacije. Ovo uključuje i ažuriranje aplikacije Bezbjednost (eng. Security), koja je odgovorna za upravljanje ažuriranjima drugih instaliranih aplikacija,
- Potrebno je biti oprezan prilikom davanja dozvola aplikacijama trećih strana. Dozvolite pristup samo osjetljivim informacijama ili funkcijama koje su neophodne za njihov rad,
- Koristiti jake, jedinstvene lozinke za Xiaomi nalog i sve povezane usluge kao što je Mi Cloud. Pored toga, omogućiti autentifikaciju u dva koraka gdje je to moguće,
- Izbjegavati korišćenje javnih Wi-Fi mreža kada se dijele osjetljivi podaci ili obavljaju finansijske transakcije na uređaju. Umjesto toga, koristiti bezbjednu vezu koju obezbjeđuje mobilni operater ili pouzdanu uslugu virtuelne privatne mreže (VPN),
- Redovno pregledati aplikacije instalirane na Xiaomi uređaju i ukloniti sve one koje više nisu potrebne ili nisu ažurirane dugo vremena. Ovo će pomoći da se samnje potencijalni vektori napada za zlonamjerne aktere da iskoriste ranjivosti,
- Instalirati renomirani softver za bezbjednost mobilnih uređaja, kao što su antivirusna rješenja i zaštitni zidovi na Xiaomi uređaj kako bi se obezbijedio dodatni sloj zaštite od poznatih prijetnji,
- Redovno pratiti Xiaomi nalog i povezane usluge za bilo kakve sumnjive aktivnosti, kao što su neovlaštene prijave ili promjene podešavanja. Ako se primijeti nešto neobično, preduzeti hitnu akciju promjenom lozinke i kontaktiranjem korisničke podrške za dalju pomoć.