您现在的位置是:首页 >每日动态 > 2021-04-30 04:58:24 来源:

IBM发现了影响小米设备的MIUI漏洞

导读 IBM研究人员发现,小米MIUI平台中的一个漏洞可能会让黑客闯入设备并远程安装恶意软件。该漏洞存在于小米分析软件包中的多个应用程序中,该

IBM研究人员发现,小米MIUI平台中的一个漏洞可能会让黑客闯入设备并远程安装恶意软件。该漏洞存在于小米分析软件包中的多个应用程序中,该软件包构成了其定制Android操作系统的一部分。这些应用程序(包括内置的浏览器应用程序)可能会受到中间人攻击的攻击,这意味着远程黑客可以在系统级别运行代码。

IBM发现了影响小米设备的MIUI漏洞

“这次攻击还涉及更新框架内部的代码注入。这些攻击媒介并不是新的,并且之前已在其他平台上公开过,”IBM表示。当程序确定设备正在运行哪个版本的固件时,它将下载并执行Android应用程序包到本地应用程序沙箱上下文中的文件系统,其中它由主机应用程序加载并执行。

在博客文章中,IBM解释了小米已经从MIUI Global Stable 7.2版本中修复了这个缺陷,但用户仍应尽快更新他们的设备,以彻底消除这个问题。

“开发人员应注意只通过经过验证的安全传输与代码相关的数据进行交换,并使用TLS等证书固定。此外,代码本身应该在执行前加密签名并由主机应用程序进行适当验证,”Roee Hay,X IBM的Forforce应用安全研究团队负责人表示。“此外,我们认为应该讨论任何应用程序是否应该能够通过DexClassLoader,动态库注入或Android平台上的任何其他方法执行未签名的代码。”

该公司表示,它希望赞扬小米的安全团队迅速应对威胁,并表示在披露后的几天内,漏洞得到了确认和分类,并向IBM提供了何时提供修复的详细信息。