20 vulnerabilità di Xiaomi mettono a rischio i dati e i dispositivi degli utenti

20 vulnerabilità di Xiaomi mettono a rischio i dati e i dispositivi degli utenti

Vulnerabilità Xiaomi, quali sono?

Secondo una nuova ricerca, i dispositivi Xiaomi sono vulnerabili a più di 20 problemi critici che riguardano le applicazioni e i componenti del sistema.

I ricercatori hanno avvertito il produttore dei difetti a fine aprile 2023, ma Xiaomi non è ancora riuscita a risolverli tutti.

Le vulnerabilità di Xiaomi interessano le applicazioni a cui gli utenti accedono quotidianamente. Scorrere le foto, guardare un video o connettersi ad un altro dispositivo tramite Bluetooth può compromettere i dati dell’utente. Secondo TheHackerNews, l’elenco delle app difettose di Xiaomi include:

  • Gallery (com.miui.gallery)
  • GetApps (com.xiaomi.mipicks)
  • Mi Video (com.miui.videoplayer)
  • MIUI Bluetooth (com.xiaomi.bluetooth)
  • Phone Services (com.android.phone)
  • Print Spooler (com.android.printspooler)
  • Security (com.miui.securitycenter)
  • Security Core Component (com.miui.securitycore)
  • Settings (com.android.settings)
  • ShareMe (com.xiaomi.midrop)
  • System Tracing (com.android.traceur), e
  • Xiaomi Cloud (com.miui.cloudservice)

Quali rischi comportano le vulnerabilità di Xiaomi?

I ricercatori avvertono che quattro delle vulnerabilità di Xiaomi risiedono nell’app Impostazioni. Questo consente ai hacker di:

  • legare i servizi a qualsiasi app
  • leggere i dati Wi-Fi e Bluetooth
  • accedere ai file di sistema
  • vedere i dettagli dell’account Xiaomi, compresi i numeri di telefono

Un altro gruppo di quattro vulnerabilità colpisce GetApps, il servizio di app store di Xiaomi. I pirati informatici che sfruttano questi difetti possono causare corruzione della memoria e l’esposizione dei token di sessione di Xiaomi, per esempio.

Anche se i ricercatori hanno segnalato il difetto di corruzione della memoria ad aprile 2023, il produttore non ha ancora rilasciato un aggiornamento.

Questa vulnerabilità proviene dalla libreria LiveEventBus. Abbiamo informato il produttore più di un anno fa, ma sembra che non abbiano ancora letto il nostro messaggio e non abbiano rilasciato alcun aggiornamento alla libreria.

Sicurezza dei dispositivi Xiaomi

Negli ultimi anni, i ricercatori di sicurezza hanno sollevato una serie di preoccupazioni relative alla sicurezza dei dispositivi Xiaomi.

Ecco una cronologia:

  • 2014 – I ricercatori di sicurezza hanno riferito che i telefoni intelligenti Xiaomi inviavano dati utente, come numeri di telefono e messaggi di testo, a server remoti in Cina. Xiaomi ha aggiornato il suo software in modo che gli utenti potessero disattivare la raccolta dati.
  • 2016 – Una società di sicurezza mobile ha rivelato che le app preinstallate sui dispositivi Xiaomi potevano introdurre vulnerabilità di sicurezza.
  • 2018 – I ricercatori hanno mostrato che i browser di Xiaomi raccoglievano dati sulle visite dei siti web degli utenti. L’uso dei browser in “modalità incognito” non garantiva la privacy degli utenti. Xiaomi ha rilasciato un aggiornamento ai suoi browser per consentire agli utenti di disattivare l’aggregazione dati in modalità incognito.
  • 2020 – Forbes ha rivelato che Xiaomi raccoglieva dati sui suoi utenti, compresi i dati dettagliati di utilizzo del browser e del telefono. I dati sono finiti su server in Russia e Singapore. Xiaomi ha affermato di anonimizzare i dati.
  • 2021 – Il governo lituano ha consigliato ai suoi cittadini di evitare l’uso dei telefoni Xiaomi. Il motivo? Le capacità di censura integrate nel sistema operativo MIUI di Xiaomi.
  • 2021 – Nel gennaio 2021, il Dipartimento della Difesa degli Stati Uniti, sotto l’amministrazione Trump, ha aggiunto Xiaomi alla lista militare nera, poiché l’azienda era associata alle forze armate cinesi. Non hanno vietato Xiaomi, ma hanno vietato agli investitori americani di acquistare o detenere le sue azioni.
    Nel maggio 2021, Xiaomi è stata rimossa da questa lista nera.
  • 2023 – I ricercatori di Edimburgo e Dublino hanno dimostrato che i dispositivi Xiaomi inviano grandi quantità di informazioni personali identificabili (PII) al fornitore del dispositivo e ai fornitori di servizi come Baidu e operatori di rete mobile cinesi.

Consigli e soluzioni

Per proteggere i tuoi dati e i tuoi dispositivi Xiaomi, segui questi consigli e soluzioni:

  1. Aggiorna il tuo dispositivo – Assicurati di avere l’ultima versione del software sul tuo dispositivo Xiaomi. Xiaomi ha già corretto alcune delle vulnerabilità segnalate, quindi aggiornare il tuo dispositivo è il modo migliore per proteggerti.
  2. Installa un software antivirus – Installa un software antivirus affidabile sul tuo dispositivo Xiaomi per proteggerti dalle minacce online.
  3. Evita di installare app sospette – Non installare app sconosciute o app che sembrano sospette sul tuo dispositivo Xiaomi.
  4. Utilizza una VPN – Utilizza una VPN per nascondere il tuo indirizzo IP e proteggere i tuoi dati online.
  5. Sii cauto con i link sospetti – Non fare clic su link sospetti o aprire allegati di posta elettronica sospetti.
  6. Utilizza la crittografia – Utilizza la crittografia per proteggere i tuoi dati importanti.
  7. Utilizza l’autenticazione a due fattori – Utilizza l’autenticazione a due fattori per proteggere il tuo account Xiaomi.
  8. Effettua il backup dei tuoi dati – Effettua il backup dei tuoi dati importanti su un dispositivo esterno o su un servizio di cloud storage affidabile.
  9. Sii consapevole dei rischi – Sii consapevole dei rischi della cybersecurity e prendi le precauzioni necessarie per proteggerti.
  10. Segnala le vulnerabilità – Se noti una vulnerabilità sul tuo dispositivo Xiaomi, segnalala al produttore.

Fonte: https://ciso2ciso.com/20-xiaomi-vulnerabilities-put-users-data-and-devices-at-risk-source-heimdalsecurity-com/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto