Website của Xiaomi tồn tại lỗ hổng zero-day rất nguy hiểm

WhiteHat Support #ID:782

WhiteHat Support
10/10/2014
0
2 bài viết
Website của Xiaomi tồn tại lỗ hổng zero-day rất nguy hiểm
Xiaomi, nhà sản xuất điện thoại thông minh số 1 Trung Quốc và lớn thứ 3 thế giới được phát hiện đang bí mật gửi dữ liệu cá nhân người dùng tới máy chủ tại Bắc Kinh, Trung Quốc. Hãng này đang cố gắng xâm nhập vào thị trường điện thoại di động đang bùng nổ tại Ấn Độ.Vấn đề này gây ra quan ngại tại nhiều quốc gia, nhất là ở Ấn Độ, Singapore và Đài Loan. Cơ quan lực lượng không quân Ấn Độ (IAF) đã cảnh báo nhân viên của mình bảo vệ thông tin cá nhân khỏi việc bị chuyển đến các máy chủ ở Trung Quốc và yêu cầu họ không sử dụng điện thoại thông minh Xiaomi để tránh rủi ro.Chính phủ Đài Loan đặc biệt quan tâm tới việc Xiaomi ra mắt tại Ấn Độ. Bởi Xiaomi đang phải đối mặt với một cuộc điều tra tại Đài Loan vì lý do đe dọa an ninh mạng và cuối cùng, chính phủ Đài Loan quyết định cấm công ty hoạt động do một số tranh cãi về vấn đề riêng tư.Khi được đưa ra thị trường, Mi3 Xiaomi và RedMi 1S đã lập kỉ lục bán hàng cực chạy với 90.000 đơn đặt hàng chỉ trong 12 giây. Và con số tổng còn cao hơn rất nhiều lần.

Trong khi đó, một chuyên gia bảo mật độc lập tại Đài Loan đã tuyên bố tìm thấy lỗ hổng zero-day trong trang web của Xiaomi, cho phép ông lấy thông tin của hàng triệu tài khoản Xiaomi và các bản ghi từ các máy chủ.Nhà nghiên cứu Đài Loan sẽ tiết lộ về lỗ hổng zero-day và về nghiên cứu điều tra của mình tại hội nghị Hackers lớn nhất châu Á, Ground Zero Summit (G0S) 2014. Bài báo cáo nghiên cứu có tựa đề: “Cảnh báo bảo mật: phơi bày điện thoại thông minh Xiaomi của Trung Quốc”. Theo báo cáo, bất cứ ai đều có thể sử dụng các lỗ hổng để tải về các dữ liệu và thông tin cá nhân.


1490893098xiaomi3.png


Thiết bị Xiaomi cung cấp Tài khoản Mi cho khách hàng mà thông qua đó, người dùng được truy cập vào Mi Cloud, Mi Talk, MIUI Forum, Mi Market và những dịch vụ Xiaomi khác. Những tài khoản cá nhân Xiaomi bao gồm thông tin cá nhân như số điện thoại di động, địa chỉ email và thông tin tài khoản.
Website của Xiaomi có lỗ hổng zero-day và nhà nghiên cứu ẩn danh Đài Loan đã trình bày tại Hội nghị G0S cũng làm dấy lên lo ngại về sự an toàn dữ liệu của hàng triệu người dùng liên quan đến tài khoản Mi Cloud.Bất cứ ai có thông tin tài khoản Xiaomi đều có thể xóa hoặc thay đổi dữ liệu cá nhân người dùng từ xa. Vì thế, người dùng được khuyến khích thay đổi mật khẩu của mình ngay lập tức.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên