快更新!舊版小米MIUI存在遠端執行惡意程式漏洞,影響數百萬小米裝置

IBM旗下X-Force應用安全研究團隊表示,在小米裝置採用的Android裝置韌體與軟體套件MIUI中,發現遠端執行程式碼漏洞,小米已經發布更新程式,呼籲用戶儘速更新。

IBM X-Force團隊發現,MIUI的漏洞能夠讓駭客發動中間人攻擊,以較高Android系統權限從遠端執行任意程式碼。IBM團隊在1月時已經私下通報小米公司,小米也在隨後發佈的7.2全球穩定版後,解決了這個安全漏洞。

該安全漏洞存在於MIUI的分析套件中,該套件被MIUI的多個應用程式使用,IBM在受測的6.1.8開發人員Rom版本中,就找到包括內建瀏覽器在內共4個App因使用了該套件,而存在漏洞,能夠觸發被攻擊的環境。

儘管小米早已修復該漏洞,不過IBM仍推估,在2015年小米出貨的7000萬台裝置中,可能仍有數百萬用戶未受最新版本保護,此外,由於MIUI也開放給非小米裝置下載使用,受影響用戶數並不易估計。有中國媒體甚至以使用中的1.7億部小米裝置作為估計基數,認為高達1.4億台小米裝置受到該漏洞影響。

(文章來源/iThome