Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Milioni di smartphone Xiaomi vulnerabili ad attacchi da remoto

L’azienda cinese Xiaomi è ad oggi il quinto maggior produttore mondiale di smartphone, con una quota di mercato attorno al 4,3% e un totale di più di 15 milioni di dispositivi mobili venduti nel primo trimestre del 2016 (fonte: Gartner, maggio 2016).

Gli smartphone prodotti da Xiaomi sono equipaggiati con una ROM open source basata su Android, chiamata MIUI, caratterizzata da un’interfaccia utente molto personalizzata rispetto alle versioni stock del sistema operativo di Google e dalla presenza di numerose app proprietarie preinstallate. Questa ROM è disponibile anche per altri produttori. Le versioni Global di MIUI sono certificate da Google e si possono installare anche su alcuni dispositivi della serie Nexus.

Un ricercatore dello X-Force Application Security Research Team di IBM ha recentemente scoperto una vulnerabilità critica in MIUI che potrebbe causare l’esecuzione di codice da remoto. Questa vulnerabilità potrebbe essere sfruttata mediante un attacco di tipo man-in-the-middle (MitM) consentendo ad un attaccante remoto di eseguire codice arbitrario sul dispositivo.

La vulnerabilità risiede nel pacchetto analytics, presente in diverse app preinstallate con MIUI. Il pacchetto analytics verifica periodicamente la presenza di aggiornamenti interrogando un servizio Web remoto. In caso positivo, il software scarica un APK da uno specifico URL, lo estrae, lo carica in memoria e lo esegue nel contesto dell’applicazione corrente. Il problema deriva dal fatto che tali transazioni sono effettuate su connessioni HTTP non sicure. Un attaccante in grado di eseguire un attacco MitM potrebbe forzare l’applicazione a scaricare un APK malevolo da un URL arbitrario e ad eseguirlo sul dispositivo della vittima. Se l’app vulnerabile è eseguita con i privilegi elevati dell’utente di sistema Android, l’attaccante potrebbe compromettere completamente il dispositivo.

Tutte le app che utilizzano il pacchetto analytics risultano vulnerabili. IBM ha identificato almeno quattro diverse app vulnerabili nella MIUI Developer ROM versione 6.1.8, incluso il browser Web di default.

Va sottolineato che Xiaomi ha già risolto questa falla nella versione Global Stable 7.2 di MIUI. Si raccomanda a tutti i possessori di terminali mobili a marchio Xiaomi di verificare la versione di MIUI installata sul proprio dispositivo e, se necessario, aggiornarla al più presto alla versione più recente.

Notizie correlate

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Grave Vulnerabilità 0-Day su Citrix NetScaler e ADC

13 gennaio 2020

È stata recentemente individuata una grave vulnerabilità zero-day nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (gennaio 2020)

10 gennaio 2020

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto