I ricercatori del centro di sicurezza Oversecured hanno segnalato di aver scoperto la presenza di 20 gravi falle di sicurezza all’interno del software realizzato da Xiaomi. Queste riguardano sia app proprietarie firmate dall’azienda, presenti nella MIUI e in HyperOS, che l’implementazione di quelle di sistema Android, toccando elementi sensibili quali telefono, foto e video, cloud, sicurezza, Bluetooth e altro ancora. Sfruttandole, un potenziale malintenzionato rischia di compromettere l’integrità dei dati dell’utente: ecco come.
Un centro di ricerca punta il dito contro l’attenzione verso la sicurezza da parte di Xiaomi
Per quanto riguarda il software proprietario di Xiaomi, le falle di sicurezza toccavano app quali Sicurezza, GetApps, Bluetooth, ShareMe, Galleria, Xiaomi Cloud, Mi Video e SecurityCore; ci sono poi quelle native di Android, ovvero Impostazioni, Telefono, Print Spooler e System Tracing. I problemi riscontrati sono numeri: controllare telefonate e app, ottenere informazioni su dispositivi Bluetooth abbinati, reti Wi-Fi connesse e contatti d’emergenza, accedere alle sessioni delle app di terze parti installate, ottenere dettagli sulle SIM virtuali e file privati nella memoria.
L’attacco poteva avvenire tramite l’installazione di app malevole, fatte installare all’utente in maniera inconsapevole, spacciandole per app legittime e sfruttandole poi per sfruttare le falle in questione. Il test è stato eseguito su Xiaomi 13 Ultra, ma secondo Sergey Toshin, fondatore di Oversecured, riguarderebbero “ogni dispositivo poiché [i difetti] fanno parte del firmware”.
Fortunatamente per gli utenti Xiaomi, la segnalazione è stata inviata ad aprile 2023 e le falle sono state tutte risolte nell’arco di una settimana. Nonostante quanto affermato da un portavoce, secondo cui Xiaomi ha “un team di sicurezza leader del settore” e sta lavorando al fianco di Google e Hackerone “per costruire sistemi Android sicuri“, secondo Toshin “deve investire più risorse nella sicurezza dei suoi dispositivi”, per esempio ricompensando maggiormente chi partecipa ai programmi di bug bounty.
Sai che siamo anche su WhatsApp? Iscriviti subito ai canali di GizChina.it e GizDeals per restare sempre informato sulle notizie del momento e sulle migliori offerte del web!
⭐️ Scopri le migliori offerte online grazie al nostro canale Telegram esclusivo.
