IBM研究人員發(fā)現(xiàn)，小米MIUI平臺(tái)中的一個(gè)漏洞可能會(huì)讓黑客闖入設(shè)備并遠(yuǎn)程安裝惡意軟件。該漏洞存在于小米分析軟件包中的多個(gè)應(yīng)用程序中，該軟件包構(gòu)成了其定制Android操作系統(tǒng)的一部分。這些應(yīng)用程序(包括內(nèi)置的瀏覽器應(yīng)用程序)可能會(huì)受到中間人攻擊的攻擊，這意味著遠(yuǎn)程黑客可以在系統(tǒng)級(jí)別運(yùn)行代碼。

“這次攻擊還涉及更新框架內(nèi)部的代碼注入。這些攻擊媒介并不是新的，并且之前已在其他平臺(tái)上公開過，”IBM表示。當(dāng)程序確定設(shè)備正在運(yùn)行哪個(gè)版本的固件時(shí)，它將下載并執(zhí)行Android應(yīng)用程序包到本地應(yīng)用程序沙箱上下文中的文件系統(tǒng)，其中它由主機(jī)應(yīng)用程序加載并執(zhí)行。

在博客文章中，IBM解釋了小米已經(jīng)從MIUI Global Stable 7.2版本中修復(fù)了這個(gè)缺陷，但用戶仍應(yīng)盡快更新他們的設(shè)備，以徹底消除這個(gè)問題。

“開發(fā)人員應(yīng)注意只通過經(jīng)過驗(yàn)證的安全傳輸與代碼相關(guān)的數(shù)據(jù)進(jìn)行交換，并使用TLS等證書固定。此外，代碼本身應(yīng)該在執(zhí)行前加密簽名并由主機(jī)應(yīng)用程序進(jìn)行適當(dāng)驗(yàn)證，”Roee Hay，X IBM的Forforce應(yīng)用安全研究團(tuán)隊(duì)負(fù)責(zé)人表示。“此外，我們認(rèn)為應(yīng)該討論任何應(yīng)用程序是否應(yīng)該能夠通過DexClassLoader，動(dòng)態(tài)庫注入或Android平臺(tái)上的任何其他方法執(zhí)行未簽名的代碼。”

該公司表示，它希望贊揚(yáng)小米的安全團(tuán)隊(duì)迅速應(yīng)對(duì)威脅，并表示在披露后的幾天內(nèi)，漏洞得到了確認(rèn)和分類，并向IBM提供了何時(shí)提供修復(fù)的詳細(xì)信息。