Ứng dụng tỷ lượt tải xuống của Xiaomi có lỗ hổng bảo mật

Theo Microsoft, lỗ hổng này liên quan đến tùy chọn kết nối và chia sẻ tệp từ xa bằng giao thức truyền tệp FTP và Khối tin nhắn máy chủ SMB, một giao thức mạng được sử dụng để chia sẻ tệp và thiết bị trong mạng. Ước tính các ứng dụng dễ bị tấn công đã được tải xuống tổng cộng hơn 4 tỷ lần trên Google Play, bao gồm hơn 1 tỷ lượt tải xuống Xiaomi File Manager và hơn 500 triệu lượt tải xuống WPS Office.

Cụ thể, lỗ hổng này cho phép ứng dụng độc hại ghi đè lên các tập tin trong thư mục chính của ứng dụng. Sau khi xâm phạm thiết bị, tin tặc có thể thực thi mã tùy ý, cho phép chúng kiểm soát hoàn toàn các ứng dụng và hành vi của điện thoại, chẳng hạn như truy cập vào tài khoản của người dùng và dữ liệu nhạy cảm.

Microsoft cho biết họ đã liên hệ với Xiaomi và các nhà phát triển ứng dụng khác để vá lỗ hổng này sau khi phát hiện ra nó vào tháng 2, nhưng công ty phần mềm Mỹ lo ngại rằng vấn đề này có thể tồn tại trong nhiều ứng dụng họ sử dụng hoặc người dùng chưa kiểm tra. Phiên bản mới nhất của ứng dụng chưa được tải xuống. Do đó, công ty khuyên người dùng Android nên cập nhật các ứng dụng chạy trên điện thoại thông minh của họ và chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy.

Xiaomi và Kingsoft, công ty đứng sau WPS Office, vẫn chưa bình luận.

Xiaomi File Manager hay Xiaomi File Manager là một ứng dụng được Xiaomi ra mắt có thể giúp bạn tìm tệp nhanh hơn và quản lý chúng dễ dàng. Phần mềm bao gồm các chức năng tìm kiếm, di chuyển, xóa, mở tệp chia sẻ, đổi tên và giải nén nhanh chóng, đồng thời hỗ trợ nhiều định dạng như nhạc, video, hình ảnh, tài liệu, gói ứng dụng và tệp zip. Trên Google Play, ứng dụng này được xếp hạng 4,6/5 sao từ 4,12 triệu người dùng.

Trong khi đó, WPS Office (trước đây là Kingsoft Office) được phát triển bởi hãng phần mềm Trung Quốc Kingsoft. Ứng dụng cho phép xem và chỉnh sửa các file văn bản, bảng biểu và nhiều định dạng file văn phòng khác.

Rufu