Last Updated on 2024-07-11 08:00 by admin
XiaomiのAndroidデバイスにおいて、様々なアプリケーションとシステムコンポーネントに複数のセキュリティ脆弱性が発見された。これらの脆弱性は、システム権限を持つ任意のアクティビティ、レシーバー、サービスへのアクセス、システム権限を持つ任意のファイルの盗難、電話、設定、Xiaomiアカウントデータの漏洩を引き起こす可能性があると、モバイルセキュリティ企業Oversecuredが報告した。
影響を受けるアプリとコンポーネントには、Gallery (com.miui.gallery)、GetApps (com.xiaomi.mipicks)、Mi Video (com.miui.videoplayer)、MIUI Bluetooth (com.xiaomi.bluetooth)、Phone Services (com.android.phone)、Print Spooler (com.android.printspooler)、Security (com.miui.securitycenter)、Security Core Component (com.miui.securitycore)、Settings (com.android.settings)、ShareMe (com.xiaomi.midrop)、System Tracing (com.android.traceur)、Xiaomi Cloud (com.miui.cloudservice) が含まれる。
特に注目すべき脆弱性には、System Tracingアプリに影響するシェルコマンドインジェクションバグや、Settingsアプリにおける任意のファイルの盗難やBluetoothデバイス、接続されたWi-Fiネットワーク、緊急連絡先に関する情報の漏洩を可能にする脆弱性がある。これらのコンポーネントはAndroid Open Source Project (AOSP)からの正規のものだが、追加機能を組み込むためにXiaomiによって変更され、これらの脆弱性が生じた。
また、GetAppsアプリに影響するメモリ破損の脆弱性が発見され、これはLiveEventBusというAndroidライブラリから発生しており、Oversecuredによると1年以上前にプロジェクトのメンテナーに報告されたが、未だに修正されていない。Mi Videoアプリは、ブロードキャストを介してXiaomiアカウント情報(ユーザー名やメールアドレスなど)を送信する際に暗黙のインテントを使用しており、デバイスにインストールされた任意のサードパーティアプリによってその情報が傍受される可能性がある。
これらの問題は2024年4月25日から4月30日の間にXiaomiに報告され、ユーザーには最新のアップデートを適用して潜在的な脅威から保護するよう助言されている。
【ニュース解説】
XiaomiのAndroidデバイスにおける複数のアプリケーションとシステムコンポーネントに、セキュリティ上の脆弱性が発見されたという報告があります。これらの脆弱性は、システム権限を持つ任意のアクティビティ、レシーバー、サービスへのアクセス、システム権限を持つ任意のファイルの盗難、さらには電話、設定、Xiaomiアカウントデータの漏洩を引き起こす可能性があるとされています。
影響を受けるアプリケーションやコンポーネントは多岐にわたり、ギャラリーアプリ、アプリストア、ビデオプレイヤー、Bluetoothサービス、電話サービス、プリントスプーラー、セキュリティセンター、設定、ファイル共有サービス、システムトレーシング、Xiaomiクラウドサービスなどが含まれます。これらの脆弱性は、XiaomiがAndroid Open Source Project(AOSP)のコンポーネントをカスタマイズする過程で、追加機能を組み込むことによって生じたものです。
特に重要な脆弱性としては、システムトレーシングアプリにおけるシェルコマンドインジェクションや、設定アプリにおける任意のファイル盗難や情報漏洩の可能性が挙げられます。これらの脆弱性を悪用することで、攻撃者はデバイス上の重要な情報を不正に取得したり、ユーザーのプライバシーを侵害する行為を行うことが可能になります。
また、GetAppsアプリに見られるメモリ破損の脆弱性は、Androidライブラリの問題に起因しており、この問題は1年以上前に報告されていながらも、未だに修正されていない状況です。このようなライブラリレベルの脆弱性は、アプリケーション開発者だけでなく、ライブラリのメンテナーにも注意深い対応を求めるものです。
この問題の報告と対応の過程は、セキュリティの継続的な監視と迅速な対応の重要性を示しています。ユーザーに対しては、常に最新のアップデートを適用し、セキュリティ対策を講じることが推奨されます。また、デバイスメーカーやアプリ開発者にとっては、セキュリティ脆弱性の早期発見と修正、ユーザーへの迅速な情報提供が、信頼性の維持に不可欠であることを改めて認識する機会となるでしょう。
長期的な視点では、このようなセキュリティ問題は、IoTデバイスやスマートデバイスの普及に伴い、ますます重要性を増しています。デバイスのセキュリティを確保するためには、ハードウェアメーカー、ソフトウェア開発者、エンドユーザーが一体となって、セキュリティ対策を強化し、情報共有を行う必要があります。また、規制当局による適切なガイドラインの設定や、セキュリティ基準の策定も、安全なデジタル環境を実現するためには欠かせない要素です。
from Xiaomi Android Devices Hit by Multiple Flaws Across Apps and System Components.