كشفت شركة أمنية تُدعى “Oversecured” عن ثغرات أمنية خطيرة في العديد من التطبيقات والمكوّنات الأساسية بأجهزة شاومي التي تعمل بنظام التشغيل اندرويد. ووفقا لتقرير الشركة الأمنية، فإن هذه الثغرات الأمنية تسمح للمهاجمين بما يلي:
- الوصول إلى أنشطة وخدمات حساسة على الهاتف تملك صلاحيات إدارة النظام.
- سرقة ملفات حساسة على الجهاز.
- الكشف عن معلومات خاصة بالمستخدم مثل بيانات الهاتف والإعدادات وحساب شاومي.
تشمل التطبيقات والمكونات المتأثرة بهذه الثغرات:
- المعرض – Gallery.
- متجر تطبيقات شاومي – GetApps.
- مشغل الفيديو – Mi Video.
- البلوتوث – MIUI Bluetooth.
- خدمات الهاتف – Phone Services.
- خدمة الطباعة – Print Spoolerز
- الأمان – Security.
- مكون أمان النواة – Security Core Component.
- الإعدادات – Settings.
- مشاركة الملفات – ShareMe.
- تتبع النظام – System Tracing.
- سحابة شاومي – Xiaomi Cloud.
ومن الجدير بالذكر أن بعض هذه المكونات مثل خدمات الهاتف وطباعة المستندات والإعدادات وتتبع النظام، هي مكونات شرعية من مشروع أندرويد مفتوح المصدر (AOSP) إلا أن شركة شاومي قامت بتعديلها لإضافة وظائف إضافية، وقد أدى هذا التعديل إلى ظهور ثغرات أمنية.
كما تم اكتشاف ثغرة أمنية في تطبيق “متجر تطبيقات شاومي” تسمح باختراق الذاكرة، وتعود هذه الثغرة إلى مكتبة أندرويد تُدعى “LiveEventBus”، وقد أفادت شركة Oversecured بأنها أبلغت مسؤلي هذه المكتبة عن الثغرة منذ أكثر من عام إلا أنها لم تُعالج حتى الآن.
وتم اكتشاف أن تطبيق “مشغل الفيديو” يقوم بإرسال معلومات حساب شاومي، مثل اسم المستخدم والبريد الإلكتروني، بشكل غير آمن، حيث يمكن لأي تطبيق آخر مثبت على الجهاز اعتراض هذه المعلومات.
وأكدت شركة Oversecured أنها أبلغت شاومي عن هذه الثغرات الأمنية خلال فترة زمنية قصيرة امتدت من 25 إلى 30 أبريل 2024.
نوصي مستخدمي أجهزة شاومي بتحديث تطبيقاتهم وأنظمة التشغيل الخاصة بهم بأحدث الإصدارات المتوفرة لتجنب الوقوع ضحية لهذه الثغرات الأمنية.
