Dimitrios微软信息安全专家 Valsamaras发现,所有小米手机,包括红米手机,都有致命的缺陷。默认安装的应用“小米文件管理器”可能会导致手机数据泄露甚至远程控制的风险。
这个漏洞被微软安全专家命名为“脏流攻击”(Dirty Stream),Dimitrios Valsamaras强调了形势的严重性。他警告说,这种漏洞模式可能会导致可怕的后果,攻击者可以在小米手机上执行任何代码。
本质上,这个漏洞就相当于给了攻击者控制应用的权利,他们可以使用未经授权访问敏感用户数据和在线账户的窃取令牌。
黑客可以远程向设备发送任何文件,并在用户不知情的情况下更换系统数据。恶意代码可以用于各种目的,如从图库中窃取照片和视频、获取登录名称和密码、短信、发送垃圾邮件、自动购买付费内容等。包括银行APP。
安全专家强调,Android系统内置了应用隔离机制,规范了手机上不同应用程序之间的安全数据交换。包括严格的数据隔离、特定统一资源标志的使用和分配。(URIs)完全验证文件路径的权限,以及防止未经授权的访问等安全措施。
这个问题的根本原因是小米开发者没有将上述标准的Android文件安全隔离机制引入到应用中。
微软公开了造成漏洞的具体文件:
- File Manager (com.xiaomi.fileexplorer)
- Gallery (com.miui.gallery)
- GetApps (com.xiaomi.mipicks)
- Mi Video (com.miui.videoplayer)
- MIUI Bluetooth (com.xiaomi.bluetooth)
- Phone Services (com.android.phone)
- PRint Spooler (com.android.printspooler)
- Security (com.miui.securitycenter)
- Security Core Component (com.miui.securitycore)
- Settings (com.android.settings)
- ShareMe (com.xiaomi.midrop)
- System Tracing (com.android.traceur)
- Xiaomi Cloud (com.miui.cloudservice)
安全专家表示,这是开发人员在开发过程中粗心大意忽视安全问题造成的。漏洞披露后,谷歌已经意识到形势的严重性,并向开发人员发表指导意见,强调安全机制的重要性。
除了小米,微软还在金山的WPS。 同样的问题也发现在Office应用软件中,其他手机和应用程序还没有发现类似的情况。
小米和WPS Office回应说,为了解决这个漏洞,采取了积极的措施。
后记:因为米粉质疑,现在贴出原截图(翻译内容是:虽然Android为每个应用程序分配自己的专用数据和内存空间进行隔离,但开发者的疏忽可能会绕过应用程序主目录中的阅读/写作限制。)
发表评论