Самая популярная версия Android ROM, устанавливаемая по умолчанию на большинство устройств, содержит критическую уязвимость. Об этом изданию The Register заявил Дэвид Каплан (David Kaplan), бывший сотрудник IBM X-Force.
Уведомление безопасности с описанием подробностей уязвимости будет опубликовано в скором времени. Сейчас известно, уязвимость присутствует в MIUI (произносится как Me, You, I) и позволяет злоумышленнику с привилегированным доступом к локальной сети (например, публичный Wi-Fi) выполнить произвольный код на уязвимом устройстве.
Уязвимость содержится в пакете com.xiaomi.analytics. Судя по предварительным данным, уязвимый пакет может использоваться для установки неподписанных обновлений для ROM посредством атаки “человек посередине”. Подобная уязвимость также присутствует в пакете com.cleanmaster.miui. Уязвимый ROM устанавливается по умолчанию на все устройства, выпускаемые Xiaomi, а также портирован на боле чем 340 различных типов устройств от Nexus, Samsung и HTC. В настоящий момент последняя версия MIUI 7.5 доступна на сайте производителя, однако в истории изменений мы не нашли информацию о разглашенных уязвимостях. (IBM/NovostIT)