Vulnerabilidad en MIUI amenaza a los dispositivos de Xiaomi

Share this…

La ROM de Android MIUI de Xiaomi es una de la mejor valoradas por los usuarios y actualmente está presente en más de 170 millones de dispositivos de la compañía china. Ahora, el investigador de IBM X-Force David Kaplan hadescubierto una vulnerabilidad grave que podrían aprovechar los cibercriminales para tomar el control absoluto de los smartphones de Xiaomi.

MIUI, basada en Android 6.0, es una interfaz gráfica que principalmente se distribuye en móviles y tablets de Xiaomi pero que también se puede instalar gratuitamente en dispositivos de otras marcas. De acuerdo con las declaraciones de Kaplan, los investigadores descubrieron undefecto en el software que permite a los atacantes ejecutar código arbitrario. Es lo que se conoce como un ataque man-in-the-middle o ataque intermediario en español.

Millions of Xiaomi smartphones at risk from remote takeover due to a flaw in MIUI ROM

Los investigadores también han encontrado conflictos en la manera en que MIUI de Xiaomi gestiona las actualizaciones, pero el fabricante ya está al tanto de la vulnerabilidad y ha lanzado un parche para solucionar estos problemas. Se recomienda a los usuariosactualizar la firmware de su móvil cuanto antes para evitar los ataques.

La vulnerabilidad permite a los cibercriminales inocular un archivo JSON (un formato de texto ligero para el intercambio de datos) en el sistema y así forzar una actualización que reemplaza la URL y el hash md5 (un algoritmo de encriptación) con una apk que contiene código malicioso. Esto es especialmente grave porque el usuario no dispone de ninguna forma de controlar las actualizaciones descargadas en el teléfono.

Los analistas de IBM descubrieron que la ROM com.cleanmaster.miui presenta defectos en la inyección de código que también puede ser aprovechada para obtener privilegios de administrador en el smartphone. Por lo tanto, si eres un usuario de un móvil o tablet Xiaomi, es urgente actualizar MIUI a la versión 7.2 inmediatamente.

Fuente:https://computerhoy.com/