每日安全资讯:1.4亿小米手机受远程执行代码漏洞影响

今日资讯

1.4亿小米手机受远程执行代码漏洞影响

小米智能手机正面临一个新型的远程执行代码(RCE)漏洞威胁,该漏洞赋予攻击者对手机的完全控制权。

 

该漏洞存在于旧版MIUI分析套件中,被MIUI的多个应用程式使用。小米方面早些时候释出MIUI 7.2全球稳定版意图修补该漏洞,并呼吁用户尽快更新。

远程执行代码漏洞

该漏洞最先由IBM X-Force的研究员David Kaplan发现,漏洞可使拥有网络访问权的攻击者,通过例如咖啡馆WiFi这样的无线网络,获取设备的完全控制权。

安全研究人员表示,该远程代码执行漏洞存在于分析包中,可被滥用于提供恶意ROM更新。

“我们发现,该漏洞被MIUI的多个应用程式使用,黑客透过漏洞发动中间人攻击,以较高的Android系统权限从远端执行任意程式码。”

安全专家称,该漏洞可使攻击者注入一个JSON应答,通过将URL和md5 hash    替换成包含恶意代码的安卓应用包实现强制更新。

由于更新代码自身没有加密验证,分析套件(com.xiaomi.analytics)将以攻击者提供的版本,通过安卓的DexClassLoader 机制,替换其自身。

自定义ROM应用 com.cleanmaster.miui 中也发现了一个更深层次的代码注入漏洞,可供攻击者用以获取系统级特权。该ROM搭载在小米(全球第三大智能手机制造商,仅去年就出售7000万台设备)制造的设备上,也移植进了超过340种不同的手机,包括Nexus、三星和HTC。

受影响用户应尽快升级到7.2版本

安卓手机的安全漏洞问题由来已久,专业人士表示如果安卓系统开发者采取措施禁止第三方应用通过DexClassLoader、动态库或其他方法执行未签名代码等,可能会从根本上消除这样的漏洞。但目前安卓系统的众多定制版本将会成为安卓手机安全防护的一大阻碍。

针对此次漏洞事件,小米响应迅速,已经成功发布了补丁。

不过虽然该漏洞已被修复,但IBM估算,在2015年小米出货的7000万台移动设备中,未更新MIUI7.2的设备仍有很大比例,可能有数百万用户未受最新版本保护,仍然受到该安全漏洞的危害。并且由于MIUI还开放给非小米装置下载使用,受影响用户数难以准确估计。有媒体甚至以使用中的1.7亿部小米手机作为估计基数,认为已经有高达1.4亿部的小米手机受到该漏洞的影响。

来源:FreeBuf
作者:米雪儿
原文链接:http://www.freebuf.com/news/108995.html

今日漏洞关注

  1. 某人才招聘网漏洞可导致数十万用户信息泄露
    https://www.vulbox.com/bugs/vulbox-2016-023155
  2. 天天果园某站多处SQL注入(代码审计)
    http://www.wooyun.org/bugs/wooyun-2016-0228659
  3. 中粮集团某系统漏洞打包(sql注入可shell/任意文件下载/SVN源码库)
    http://www.wooyun.org/bugs/wooyun-2016-0228424
  4. 广东省商务厅存在SQL注入(绕过WAF)
    http://www.wooyun.org/bugs/wooyun-2016-0227825
  5. 海南公积金某处注入影响44库
    https://butian.360.cn/vul/info/qid/QTVA-2016-46987
(来源:补天、乌云、漏洞盒子,安华金和搜集整理) 

最后编辑于:2016/7/14作者: 安华金和

安华金和

安华金和专注于数据库安全领域,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内领先的,提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。