Спецпроекты

Безопасность Пользователю Техника

Хозяева смартфонов Xiaomi в большой опасности. В приложениях, которые нельзя удалить, масса «дыр», под угрозой деньги и персональные данные

В приложениях, установленных на смартфоны и планшеты Xiaomi с завода, обнаружено множество уязвимостей. Эти утилиты штатные и не поддаются удалению стандартными средствами, что повышает риск успешной хакерской атаки. Также опасные бреши нашлись и в базовых утилитах Android, за развитие которых должна отвечать уже не Xiaomi, а Google – они есть в подавляющем большинстве Android-устройств.

Смартфоны, напоминающие швейцарский сыр

Смартфоны и планшеты компании Xiaomi, очень популярные в России и за ее пределами, кишат уязвимостями. Это доказали специалисты ИБ-компании Oversecured, обнаружившие «дыры» в системных приложениях этих гаджетов.

В частности, бреши есть в составе видеоплеера Mi Video, просмотрщика изображений Gallery, утилиты магазина приложений GetApps, облачного сервиса Xiaomi Cloud, приложения ShareMe для передачи данных и ряда других, в частности, в «Безопасности» и приложении для работы с Bluetooth. Все перечисленные компоненты являются системными – их нельзя удалить стандартными средствами, только при помощи стороннего ПО для компьютера.

Отметим, что все перечисленные компоненты есть в составе устройств Xiaomi, а также Redmi и Poco – это дочерние бренды китайской компании.

Xiaomi подвергала и продолжает подвергать персональные данные своих пользователей опасности

По словам аналитиков Oversecured, найденные ими уязвимости позволяют киберпреступникам выполнять произвольные операции на мобильных устройствах, вплоть до получения прав суперпользователя. Это может привести к утечке персональных данных, а также к потере денег, если хакеры доберутся до банковского приложения.

Когда «дыр» слишком много

Xiaomi регулярно выпускает обновленные версии системных приложений, притом апдейты получают даже устройства, техническая поддержка которых давно прекращена. Для примера, новые версии штатных утилит выходят для Xiaomi Mi Max 3смартфона образца 2018 г., прошивка которого в последний раз обновлялась летом 2020 г. Мобильник получил апдейт до Android 10 и оболочку MIUI 12, но новые версии «Галереи», «Безопасности» и других базовых приложений по-прежнему доступны для него.

Тем не менее, свежие релизы таких приложений все еще содержат найденные специалистами Oversecured уязвимости. Они насчитали в общей сложности 20 «дыр», часть из которых по каким-то причинам не устраняются и кочуют из одной версии той или иной утилиты в другую.

Cтоит отметить, что часть обнаруженных уязвимостей содержится в фирменных приложениях Google, к разработке которых Xiaomi отношения, на первый взгляд, не имеет. Это, в частности, Phone Services (com.android.phone), Print Spooler (com.android.printspooler), Settings (com.android.settings) и System Tracing (com.android.traceur).

Но, по данным Oversecured, Xiaomi все же приложила руку ко всем перечисленным компонентам. Каждый из них входит в состав бесплатной и открытой версии Android – Android Open Source Project (AOSP), которая лежит в основе множества кастомных прошивок для смартфонов и нескольких российских мобильных ОС, Как отметили в Oversecured, Xiaomi внесла ряд изменений в код этих приложений. Это и вызвало появление в них уязвимостей.

Что доступно хакерам

Из отчета Oversecured следует, что в смартфонах и планшетах Xiaomi злоумышленников ожидает своего рода «шведский стол». Например, бреши в приложении System Tracing позволяют запускать произвольный код, а посредством «дыр» в приложении «Настройки» (Settings) можно добраться до пользовательских файлов. Также через «Настройки» можно получить информацию о синхронизированных устройствах Bluetooth и сетях Wi-Fi, к которым было совершено подключение.

Что важно, Xiaomi знает о проблеме. В некоторых приложениях уязвимости уже устранены, так как эксперты Oversecured уведомили ее о них еще весной 2023 г. Но, если бы все было решено, едва ли Oversecured стала бы публиковать информацию об этом в Сети.

Так, например, в приложении магазина GetApps, фирменного аналога Google Play, до сих пор содержится брешь, эксплуатация которой ведет к утечке памяти. Xiaomi знает об этом достаточно давно, но пока не торопится что-либо предпринимать.

Есть вопросы к Google

Отчет Oversecured гласит, что с повышенным интересом хакеров к их гаджетам могут столкнуться и владельцы Android-гаджетов, произведенных не Xiaomi, Redmi или Poco. Другими словами, уязвимости нашлись и в самой ОС Android.

Например, в смартфонах Google Pixel, тоже есть приложение «Настройки» – оно использует необъявленные разрешения при добавлении компонентов в файл AndroidManifest.xml. Эксперты утверждают, что за счет этого злоумышленники могут «изменять списки операторских приложений и приложений для обхода VPN».

Издание The Register также обратило внимание на тот факт, что на некоторые проблемы безопасности своей мобильной платформы Google реагирует очень уж неоперативно. Например, в середине февраля 2022 г. в Android нашлась брешь CVE-2023-20963, позволявшая хакерам получать доступ к любым компонентам приложений, которые установлены на устройстве пользователя. Google была проинформирована об этом незамедлительно.

По данным The Register, злоумышленники начали активно эксплуатировать CVE-2023-20963 с первых чисел марта 2022 г. – к тому моменту Google знала о наличии этой уязвимости в Android. Тем не менее, устраняющий ее патч вышел лишь 1 марта 2023 г. – то есть спустя более года после ее обнаружения.

Короткая ссылка