The Hacker News mới đây cho biết, đã xuất hiện một lỗ hổng nguy hiểm trong quá trình thực thi code từ xa (RCE) cho phép hacker xâm nhập và kiểm soát toàn bộ các điện thoại Xiaomi.
David Kaplan, nhà nghiên cứu của IBM X-Force, chính là người khám phá ra lỗ hổng này. Nó tồn tại trong các phiên bản MIUI trước phiên bản Global Stable 7.2 dựa trên Android 6.0.
Hacker có thể lợi dụng việc truy cập mạng tại nơi công cộng như Wi-Fi tại các quán cafe để lây lan, cài đặt phần mềm độc hại từ xa. Các nhà nghiên cứu tìm thấy một số ứng dụng trong gói phân tích của MIUI có thể bị lạm dụng để cung cấp thông tin cập nhật ROM chứa mã độc.
Xiaomi là hãng điện thoại lớn thứ ba thế giới. Ảnh: Deccanchronicle. |
"Lỗ hổng mà chúng tôi phát hiện cho phép hacker triển khai cuộc tấn công MITI nhằm thực thi các code tùy ý giống như tài khoản Android có quyền cao nhất", các nhà nghiên cứu phân tích.
Các gói phân tích dễ bị tổn thương tồn tại trong ít nhất bốn ứng dụng mặc định được Xiaomi cài sẵn trong hệ điều hành MIUI.
Hacker có thể lợi dụng lỗ hổng để thêm vào một phản ứng JSON nhằm kích hoạt tải về một bản cập nhật với đường link giả, chứa mã độc được thực hiện ở cấp độ hệ thống, cấp độ có quyền cao nhất trên các thiết bị Android.
Xiaomi là hãng sản xuất điện thoại thông minh lớn thứ ba trên thế giới với hơn 70 triệu thiết bị xuất xưởng chỉ riêng trong năm ngoái.
Để vá lại lỗ hổng này, người dùng thiết bị Xiaomi cần cập nhật phiên bản MIUI Global Stable 7.2.