كشفت بعض التقارير عن عدة ثغرات أمنية في تطبيقات ومكونات نظام التشغيل “أندرويد” المختلفة داخل أجهزة شاومي، حيث قالت شركة أمان الهواتف المحمولة “أوفرسيكورد” في تقرير مشترك مع موقع “ذا هاكر نيوز” أن الثغرات في أجهزة شاومي أدت إلى الوصول إلى أنشطة وبيانات وخدمات عشوائية وكذلك سرقة ملفات عشوائية بصلاحيات من النظام، فضلًا عن كشف بيانات الهاتف والإعدادات وحساب شاومي.
وتأثرت عدة تطبيقات ومكونات بهذه الثغرة بما في ذلك:
- معرض الهاتف.
- خدمة الحصول على التطبيقات.
- خدمةMi فيديو.
- ميزة البلوتوث.
- خدمات الهاتف.
- خدمة التخزين المؤقت للطباعة.
- الأمان.
- المكون الأساسي للأمان.
- إعدادات الأجهزة.
- خدمة ShareMe .
- خدمة تتبع النظام.
- خدمة شاومي السحابية.
وتشمل بعض الثغرات الملحوظة ثغرة في shell command injection أثرت على تطبيق تتبع النظام وثغرات في تطبيق الإعدادات والتي سمحت بسرقة ملفات عشوائية بالإضافة إلى تسريب معلومات حول أجهزة البلوتوث وشبكات الواي فاي المتصلة وجهات الاتصال الطارئة.
اقرأ أيضًا >> ثغرة أمنية تتيح فتح أبواب ملايين غرف الفنادق بسهولة
ومن الجدير بالذكر أن خدمات الهاتف وخدمة التخزين المؤقت للطباعة والإعدادات وتتبع النظام هي ميزات شرعية ضمن مشروع أندرويد مفتوح المصدر (AOSP)، ولكن تم تعديلها من قبل الشركة الصينية لإضافة ميزات إضافية، مما سمح بوجود مثل هذه الثغرات.
كما تم اكتشاف أيضًا ثغرة سببت تشوه الذاكرة وأثرت على تطبيق GetApps، والذي ينبع من مكتبة أندرويد التي تُدعى LiveEventBus، وقد تم الإبلاغ عنها لمسؤولي المشروع منذ أكثر من عام ولا تزال غير مصححة حتى الآن، بالإضافة إلى أن تطبيق Mi Video الذي يستخدم النوايا الضمنية لإرسال معلومات حساب شاومي مثل اسم المستخدم وعنوان البريد الإلكتروني عبر البث، مما يمكن لأي تطبيق طرف ثالث مثبت على الأجهزة باستخدام مستقبلات البث الخاصة به.
وقالت شركة Oversecured الأمنية إنه تم الإبلاغ عن هذه الثغرات إلى شاومي خلال الفترة من 25 إلى 30 إبريل 2024، لذا يُنصح المستخدمون بتثبيت التحديثات الأخيرة للحد من التهديدات المحتملة.
