Jutaan smartphone
Xiaomi rentan terhadap berbahaya eksekusi kode jauh (RCE) kerentanan yang bisa
memberikan penyerang kontrol penuh dari handset. Kerentanan, sekarang ditambal, ada di
MIUI - pelaksanaan Xiaomi sendiri dari sistem operasi Android - versi sebelum
MIUI global stabil 7.2 yang didasarkan pada Android 6.0. kelemahan, ditemukan oleh IBM X-Force peneliti David Kaplan,
berpotensi memungkinkan penyerang dengan akses jaringan istimewa, seperti Wi-Fi
kafe, untuk menginstal malware jarak jauh pada perangkat yang terkena dampak
dan sepenuhnya kompromi mereka.
Para
peneliti menemukan beberapa aplikasi dalam paket analisis di MIUI, yang dapat
disalah gunakan untuk memberikan update ROM berbahaya dari jarak jauh melalui
serangan man-in-the-middle(ditengah-tengah orang).
" Kerentanan yang kami temukan memungkinkan untuk seorang penyerang tengah untuk mengeksekusi kode
arbitrary sebagai sangat istimewa Android 'sistem' pengguna, "
kata peneliti.
Para peneliti
mengatakan mereka menemukan paket analisis rentan dalam setidaknya empat
aplikasi default yang disediakan oleh Xiaomi dalam distribusi MIUI nya, salah
satu aplikasi menjadi aplikasi browser default. Cacat yang memungkinkan penyerang
untuk menyuntikkan respon JSON untuk memaksa update dengan mengganti link dan
MD5 hash dengan paket aplikasi Android berbahaya yang mengandung kode
berbahaya, yang dieksekusi pada tingkat sistem.
Karena tidak ada verifikasi kriptografi kode update, paket analisis (com.xiaomi.analytics) akan mengganti dirinya dengan " versi penyerang yang disediakan melalui mekanisme DexClassLoader Android. " Dengan kata lain, paket analisis tidak menggunakan HTTPS untuk query server pembaruan untuk update, atau mendownload paket melalui HTTPS, sehingga memungkinkan penyerang untuk memodifikasi update. kapal-kapal ROM kustom pada perangkat yang diproduksi oleh pengembang Xiaomi - pembuat smartphone terbesar ketiga di dunia dengan lebih dari 70 juta perangkat dikapalkan hanya tahun lalu saja - dan juga porting ke lebih dari 340 handset yang berbeda termasuk Nexus, Samsung, dan HTC. Sejak perusahaan telah ditambal cacat dan merilis update over-the-air, pengguna sangat dianjurkan untuk memperbarui firmware untuk versi 7.2sesegera mungkin dalam rangka untuk memastikan mereka tidak rentan terhadap masalah ini yang mengganggu Jutaan perangkat Xiaomi.
EmoticonEmoticon