تحذير: الملايين من الهواتف XIAOMI عرضة للاختراق عن بعد

الملايين من الهواتف الذكية XIAOMI عرضة للاختراق 
بسبب ضعف بتنفيذ التعليمات البرمجية عن بعد ( آر سي أي ) التي يمكن أن تمنح المهاجمين السيطرة الكاملة على الهواتف.
تم تصحيح الضعف الموجود في MIUI الان - تنفيذ الخاصة XIAOMI لنظام التشغيل أندرويد -
 في الإصدارات قبل MIUI العالمية مستقرة 7.2 الذي يقوم على أندرويد 6.0 .
الخلل الذي اكتشفه الباحث IBM X- قوة ديفيد كابلان ، ويحتمل أن تسمح للمهاجمين مع الوصول إلى الشبكة متميز ، مثل واي فاي مقهى ، 
لتثبيت البرمجيات الخبيثة عن بعد على الأجهزة المتضررة و بشكل كامل يخترقهم .
ووجد الباحثون بعض التطبيقات في حزمة تحليلات في MIUI ، 
والتي يمكن أن يساء استخدامها لتوفير تحديثات ROM الخبيثة عن بعد من خلال هجوم رجل في داخل الوسط. 
واضاف ان " اكتشفنا أن الضعف يسمح لل مهاجم -في - الوسط بتنفيذ تعليمات برمجية عشوائية مثل متميز للغاية 
" نظام " أندرويد المستخدم " يقول الباحثون . 
ويقول الباحثون انهم اكتشفوا تحليلات الحزم الضعيفة في أربعة على الأقل 
التطبيقات الافتراضية التي تقدمها XIAOMI في توزيعات MIUI ، 
واحدة من تلك التطبيقات يجري التطبيق المستعرض الافتراضي . 
الخلل يسمح للمهاجمين لحقن JSON إلى فرض التحديث عن طريق استبدال الرابط و تجزئة MD5 
مع حزمة تطبيقات أندرويد الخبيثة التي تحتوي على الشيفرات الخبيثة ، والتي يتم تنفيذها على مستوى النظام 
حيث لا يوجد تحقق من قانون التحديث حزمة تحليلات ( com.xiaomi.analytics ) 
ستحل محل نفسها مع " إصدار تزويد المهاجمين عبر آلية DexClassLoader الروبوت . " وبعبارة النظام، 
حزمة تحليلات لا يستخدم HTTPS إلى الاستعلام عن خادم التحديث للحصول على التحديثات ، كما أنه يقوم بتحميل حزمة عبر HTTPS ، 
مما يسمح للقراصنة على تعديل التحديثات. السفن ROM مخصص على الأجهزة المصنعة من قبل المطور XIAOMI 
- ثالث أكبر صانع في العالم الهاتف الذكي مع أكثر من 70 مليون الأجهزة التي يتم شحنها فقط العام الماضي وحده 
- و استدار أيضا إلى أكثر من 340 أجهزة مختلفة بما في ذلك نيكزس، سامسونج ، HTC  . 
منذ كانت الشركة تصحح الخلل و أصدرت التحديث عبر الهواء ، وينصح المستخدمين بشدة 
لتحديث البرامج الثابتة إلى الإصدار 7.2 في أسرع وقت ممكن 
من أجل ضمان أنهم ليسوا عرضة لهذه المشكلة التي ابتليت بها الملايين من أجهزة XIAOMI .

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *