IBM X-Force, которые обнаружили в прошивке MIUI, которую нам даёт компания Xiaomi, серьёзную уязвимость, которая даёт возможность злоумышленнику запустить на устройствах пользователей произвольный код. При этом MIUI установлена не только на устройствах Xiaomi, но также официально выпускается компанией и для устройств прочих вендоров, а также неофициально портируется умельцами не те устройства, что официально не поддерживаются, но имеют аудиторию пользователей.
Если же считать только аппараты Xiaomi, то здесь прямо-таки значительная армия. Лишь в 2015 году компания отгрузила более 70 миллионов гаджетов с MIUI. Все они уязвимы, потому что баг актуален для всех прошивок вплоть до версии 7.2.xxxx Stable. Впрочем, в свежих версиях прошивок, которые есть почти для всех устройств, уязвимость уже закрыли. Настоятельно рекомендуем всем обновиться.
Беду обнаружили в аналитическом компоненте, который используется различными приложениями для сбора информации о собственной работе и устройстве. Например, такой компонент встроен в дефолтный браузер в системе. Компонент имеет собственный механизм обновления, который как раз посчитали небезопасным, потому что он даёт возможность выполнить классическую mitm-атаку. То есть запрос можно перехватить и прикинувшись нужным сервером, отдать своё содержимое.