导 读
安全研究人员发现一系列漏洞后,敦促小米用户更新设备。
研究人员发现20个安全漏洞与部署的谷歌Android操作系统有关。小米公司一周内修复了这些漏洞,用户应尽快更新手机系统。
网络安全研究人员表示,小米智能手机存在的安全缺陷,可能会让黑客窃取密码并危及社交媒体帐户。
发现这些漏洞的移动安全初创公司Oversecured 的创始人谢尔盖·托辛 (Sergey Toshin) 表示,这些缺陷影响了小米设备上运行的多种软件,从设置应用程序到蓝牙软件。
Toshin 告诉《福布斯》,最危险的缺陷可能会被滥用来授予攻击者“系统权限”,从而窃取用户密码并访问私人用户文件,Toshin 并不认为这些漏洞已被恶意黑客利用。
“小米需要在设备安全方面投入更多资源。”谢尔盖·托申 (Sergey Toshin) Oversecured 创始人表示。
如果黑客想要利用最严重的弱点,他们可能会尝试通过网络钓鱼或在 Google Play 等市场上推送恶意应用程序,在小米手机上安装恶意应用程序。
Toshin 表示,黑客可以使用该应用程序来利用其中一个弱点,并执行诸如拦截受害者的社交网络消息、获取用户联系人以及收集有关其连接的蓝牙设备的信息等操作。
Oversecured 上周在小米 13 Ultra 上测试后向小米披露了这些缺陷。“我们相信每个设备都容易受到攻击,因为[缺陷]是固件的一部分。”Toshin 说。他表示,这家中国公司在一周内修复了这些漏洞。
他表示,如果小米作为其在 HackerOne 平台上运行的漏洞赏金计划的一部分,向黑客提供更大的奖励,也许能够避免重大问题。
根据 HackerOne 的数据,其平均支出在 80 至 100 美元之间,在过去 90 天内奖励黑客 2,600 美元。相比之下,谷歌在 2023 年向 Android 安全研究人员支付了340 万美元。
小米表示,该公司拥有“业界领先的安全团队”,并正在与谷歌和 Hackerone 合作“构建安全的 Android 系统”。Toshin 表示,小米目前的支出“明显低于谷歌”,并且“小米需要在其设备的安全性上投入更多资源。”
有关这些漏洞的详细信息,可参考Oversecured 研究人员的技术博客文章:https://blog.oversecured.com/20-Security-Issues-Found-in-Xiaomi-Devices/
参考链接:https://www.forbes.com/sites/thomasbrewster/2024/05/02/xiaomi-vulnerabilities-pose-a-threat-to-all-users-researchers-warn/
今日安全资讯速递
APT事件
Advanced Persistent Threat
奇安信X实验室披露恶意 Android 后门可让黑客窃取手机内容
https://blog.xlab.qianxin.com/playing-possum-whats-the-wpeeper-backdoor-up-to/
黑客越来越多地滥用 Microsoft Graph API 进行隐秘恶意软件通信
https://thehackernews.com/2024/05/hackers-increasingly-abusing-microsoft.html
美国国家安全局 (NSA) 和联邦调查局 (FBI) 就朝鲜黑客从可信来源欺骗电子邮件发出警报
https://thehackernews.com/2024/05/nsa-fbi-alert-on-n-korean-hackers.html
针对思科防火墙的 ArcaneDoor 间谍活动
https://www.securityweek.com/arcanedoor-espionage-campaign-targeting-cisco-firewalls-linked-to-china/
电子邮件安全漏洞是朝鲜社会工程攻击的最新途径
https://www.securityweek.com/us-says-north-korean-hackers-exploiting-weak-dmarc-settings/
https://therecord.media/north-korea-kimsuky-hackers-dmarc-emails
被 FBI 破坏的僵尸网络仍被俄罗斯间谍和网络犯罪分子使用
https://www.securityweek.com/botnet-disrupted-by-fbi-still-used-by-russian-spies-cybercriminals/
俄罗斯黑客瞄准北美和欧洲的工业系统
https://www.securityweek.com/russian-hackers-target-industrial-systems-in-north-america-europe/
北约和欧盟谴责俄罗斯对德国和捷克的网络攻击
https://www.bleepingcomputer.com/news/security/nato-and-eu-condemn-russias-cyberattacks-against-germany-czechia/
一般威胁事件
General Threat Incidents
微软对所有消费者帐户实行无密码验证
https://cybernews.com/news/microsoft-passkey-accounts/
微软警告流行 Android 应用程序中存在“Dirty Stream脏流”漏洞
https://www.securityweek.com/microsoft-warns-of-dirty-stream-vulnerability-in-popular-android-apps/
研究人员发现,五分之一的 Docker Hub 存储库是恶意目的
https://cybernews.com/security/fifth-of-docker-hub-repositories-malicious/
CISA 去年向 1,750 个组织发出勒索软件漏洞警告,只有一半组织采取了行动
https://www.cybersecuritydive.com/news/cisa-ransomware-vulnerability-warnings/714951/
美国 UnitedHealth 首席执行官告诉参议院,公司向黑客支付了 2200 万美元赎金
https://www.cnbc.com/2024/05/01/unitedhealth-ceo-says-company-paid-hackers-22-million-ransom.html
Dropbox 称黑客在泄露期间获取了密码和身份验证信息
https://therecord.media/dropbox-data-breach-notification
LockBit 公布从法国戛纳医院窃取的机密数据
https://therecord.media/lockbit-ransomware-hopital-de-cannes-data-published
ZLOADER恶意软件增加了ZEUS银行木马的反分析功能
https://securityaffairs.com/162688/cyber-crime/zloader-malware-anti-analysis-feature.html
漏洞事件
Vulnerability Incidents
四个严重漏洞使 HPE Aruba 设备面临 RCE 攻击
https://thehackernews.com/2024/05/four-critical-vulnerabilities-expose.html
CISA 表示,GitLab 的一个关键密码重置漏洞(CVE-2023-7028)正在被攻击利用
https://www.securityweek.com/1400-gitlab-servers-impacted-by-exploited-vulnerability/
Android 漏洞可能会在启用 VPN 终止开关的情况下泄漏 DNS 流量
https://www.bleepingcomputer.com/news/security/android-bug-can-leak-dns-traffic-with-vpn-kill-switch-enabled/
福布斯:国外安全研究人员警告20个安全漏洞“对小米用户构成威胁”
https://www.forbes.com/sites/thomasbrewster/2024/05/02/xiaomi-vulnerabilities-pose-a-threat-to-all-users-researchers-warn/
讲述普通人能听懂的安全故事