Dimitrios微软信息安全专家 Valsamaras发现,所有小米手机,包括红米手机,都有致命的缺陷。默认安装的应用“小米文件管理器”可能会导致手机数据泄露甚至远程控制的风险。

微软安全专家发现,小米应用程序存在致命缺陷,可能导致手机被远程控制  第1张

这个漏洞被微软安全专家命名为“脏流攻击”(Dirty Stream),Dimitrios Valsamaras强调了形势的严重性。他警告说,这种漏洞模式可能会导致可怕的后果,攻击者可以在小米手机上执行任何代码。

本质上,这个漏洞就相当于给了攻击者控制应用的权利,他们可以使用未经授权访问敏感用户数据和在线账户的窃取令牌。

微软安全专家发现,小米应用程序存在致命缺陷,可能导致手机被远程控制  第2张

黑客可以远程向设备发送任何文件,并在用户不知情的情况下更换系统数据。恶意代码可以用于各种目的,如从图库中窃取照片和视频、获取登录名称和密码、短信、发送垃圾邮件、自动购买付费内容等。包括银行APP。

微软安全专家发现,小米应用程序存在致命缺陷,可能导致手机被远程控制  第3张

安全专家强调,Android系统内置了应用隔离机制,规范了手机上不同应用程序之间的安全数据交换。包括严格的数据隔离、特定统一资源标志的使用和分配。(URIs)完全验证文件路径的权限,以及防止未经授权的访问等安全措施。

微软安全专家发现,小米应用程序存在致命缺陷,可能导致手机被远程控制  第4张

这个问题的根本原因是小米开发者没有将上述标准的Android文件安全隔离机制引入到应用中。

微软公开了造成漏洞的具体文件:

  • File Manager (com.xiaomi.fileexplorer)
  • Gallery (com.miui.gallery)
  • GetApps (com.xiaomi.mipicks)
  • Mi Video (com.miui.videoplayer)
  • MIUI Bluetooth (com.xiaomi.bluetooth)
  • Phone Services (com.android.phone)
  • PRint Spooler (com.android.printspooler)
  • Security (com.miui.securitycenter)
  • Security Core Component (com.miui.securitycore)
  • Settings (com.android.settings)
  • ShareMe (com.xiaomi.midrop)
  • System Tracing (com.android.traceur)
  • Xiaomi Cloud (com.miui.cloudservice)

安全专家表示,这是开发人员在开发过程中粗心大意忽视安全问题造成的。漏洞披露后,谷歌已经意识到形势的严重性,并向开发人员发表指导意见,强调安全机制的重要性。

微软安全专家发现,小米应用程序存在致命缺陷,可能导致手机被远程控制  第5张

除了小米,微软还在金山的WPS。 同样的问题也发现在Office应用软件中,其他手机和应用程序还没有发现类似的情况。

小米和WPS Office回应说,为了解决这个漏洞,采取了积极的措施。

后记:因为米粉质疑,现在贴出原截图(翻译内容是:虽然Android为每个应用程序分配自己的专用数据和内存空间进行隔离,但开发者的疏忽可能会绕过应用程序主目录中的阅读/写作限制。)

微软安全专家发现,小米应用程序存在致命缺陷,可能导致手机被远程控制  第6张


微软安全专家发现,小米应用程序存在致命缺陷,可能导致手机被远程控制  第7张