小米Android设备受多个漏洞影响，涉及应用程序和系统组件

小米运行Android系统的设备中已经披露了多个安全漏洞，涉及各种应用程序和系统组件。

移动安全公司Oversecured在与The Hacker News分享的一份报告中表示：“小米的漏洞导致对具有系统权限的任意活动、接收器和服务的访问，以及对具有系统权限的任意文件的窃取，泄露手机、设置和小米账户数据。”

这20个缺陷影响了不同的应用程序和组件，包括：

• 相册（com.miui.gallery）
• 获取应用（com.xiaomi.mipicks）
• 小米视频（com.miui.videoplayer）
• MIUI蓝牙（com.xiaomi.bluetooth）
• 电话服务（com.android.phone）
• 打印服务（com.android.printspooler）
• 安全中心（com.miui.securitycenter）
• 安全核心组件（com.miui.securitycore）
• 设置（com.android.settings）
• ShareMe（com.xiaomi.midrop）
• 系统跟踪（com.android.traceur）
• 小米云服务（com.miui.cloudservice）

一些显着的缺陷包括影响系统跟踪应用程序的Shell命令注入漏洞，以及设置应用程序中的漏洞，可能会导致任意文件的窃取，以及泄露有关蓝牙设备、连接的Wi-Fi网络和紧急联系人的信息。

值得注意的是，虽然电话服务、打印服务、设置和系统跟踪是Android开源项目（AOSP）中的合法组件，但它们已被中国手机制造商修改以包含额外功能，从而导致了这些漏洞。

Oversecured还发现了一个影响获取应用程序的内存损坏漏洞，这反过来源于一个名为LiveEventBus的Android库，据称在一年多前已向项目维护者报告，但至今仍未修复。

小米视频应用程序被发现使用隐式意图通过广播发送小米账户信息，例如用户名和电子邮件地址，这可能被设备上安装的任何第三方应用程序拦截。

Oversecured表示，这些问题在2024年4月25日至4月30日期间已向小米报告。建议用户应用最新更新以减轻潜在威胁。