Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Milioni di smartphone Xiaomi vulnerabili ad attacchi da remoto

L’azienda cinese Xiaomi è ad oggi il quinto maggior produttore mondiale di smartphone, con una quota di mercato attorno al 4,3% e un totale di più di 15 milioni di dispositivi mobili venduti nel primo trimestre del 2016 (fonte: Gartner, maggio 2016).

Gli smartphone prodotti da Xiaomi sono equipaggiati con una ROM open source basata su Android, chiamata MIUI, caratterizzata da un’interfaccia utente molto personalizzata rispetto alle versioni stock del sistema operativo di Google e dalla presenza di numerose app proprietarie preinstallate. Questa ROM è disponibile anche per altri produttori. Le versioni Global di MIUI sono certificate da Google e si possono installare anche su alcuni dispositivi della serie Nexus.

Un ricercatore dello X-Force Application Security Research Team di IBM ha recentemente scoperto una vulnerabilità critica in MIUI che potrebbe causare l’esecuzione di codice da remoto. Questa vulnerabilità potrebbe essere sfruttata mediante un attacco di tipo man-in-the-middle (MitM) consentendo ad un attaccante remoto di eseguire codice arbitrario sul dispositivo.

La vulnerabilità risiede nel pacchetto analytics, presente in diverse app preinstallate con MIUI. Il pacchetto analytics verifica periodicamente la presenza di aggiornamenti interrogando un servizio Web remoto. In caso positivo, il software scarica un APK da uno specifico URL, lo estrae, lo carica in memoria e lo esegue nel contesto dell’applicazione corrente. Il problema deriva dal fatto che tali transazioni sono effettuate su connessioni HTTP non sicure. Un attaccante in grado di eseguire un attacco MitM potrebbe forzare l’applicazione a scaricare un APK malevolo da un URL arbitrario e ad eseguirlo sul dispositivo della vittima. Se l’app vulnerabile è eseguita con i privilegi elevati dell’utente di sistema Android, l’attaccante potrebbe compromettere completamente il dispositivo.

Tutte le app che utilizzano il pacchetto analytics risultano vulnerabili. IBM ha identificato almeno quattro diverse app vulnerabili nella MIUI Developer ROM versione 6.1.8, incluso il browser Web di default.

Va sottolineato che Xiaomi ha già risolto questa falla nella versione Global Stable 7.2 di MIUI. Si raccomanda a tutti i possessori di terminali mobili a marchio Xiaomi di verificare la versione di MIUI installata sul proprio dispositivo e, se necessario, aggiornarla al più presto alla versione più recente.

Notizie correlate

Vulnerabilità multiple 0-day in VxWorks

1 agosto 2019

Sono state scoperte 11 gravi vulnerabilità zero-day nei sistemi operativi VxWorks prodotti da Wind River che possono consentire l'esecuzione di codice da remoto.Leggi tutto

Grave Vulnerabilità in ProFTPd

25 luglio 2019

È stata scoperta una grave vulnerabilità di tipo esecuzione di codice da remoto nell’applicativo ProFTPd.Leggi tutto

Vulnerabilità critica in VLC media player

24 luglio 2019

È stata recentemente scoperta una vulnerabilità critica in VideoLAN VLC media player che può consentire l'esecuzione di codice arbitrario.Leggi tutto