IBM發現了影響小米設備的MIUI漏洞

IBM研究人員發現，小米MIUI平臺中的一個漏洞可能會讓黑客闖入設備并遠程安裝惡意軟件。該漏洞存在于小米分析軟件包中的多個應用程序中，該軟件包構成了其定制Android操作系統的一部分。這些應用程序(包括內置的瀏覽器應用程序)可能會受到中間人攻擊的攻擊，這意味著遠程黑客可以在系統級別運行代碼。

“這次攻擊還涉及更新框架內部的代碼注入。這些攻擊媒介并不是新的，并且之前已在其他平臺上公開過，”IBM表示。當程序確定設備正在運行哪個版本的固件時，它將下載并執行Android應用程序包到本地應用程序沙箱上下文中的文件系統，其中它由主機應用程序加載并執行。

在博客文章中，IBM解釋了小米已經從MIUI Global Stable 7.2版本中修復了這個缺陷，但用戶仍應盡快更新他們的設備，以徹底消除這個問題。

“開發人員應注意只通過經過驗證的安全傳輸與代碼相關的數據進行交換，并使用TLS等證書固定。此外，代碼本身應該在執行前加密簽名并由主機應用程序進行適當驗證，”Roee Hay，X IBM的Forforce應用安全研究團隊負責人表示。“此外，我們認為應該討論任何應用程序是否應該能夠通過DexClassLoader，動態庫注入或Android平臺上的任何其他方法執行未簽名的代碼。”

該公司表示，它希望贊揚小米的安全團隊迅速應對威脅，并表示在披露后的幾天內，漏洞得到了確認和分類，并向IBM提供了何時提供修復的詳細信息。