ИБ-компания Oversecured обнаружилапроблемы в Android-приложениях от Xiaomi и Google Android Open Source Project (AOSP), влияющих на пользователей по всему миру.
В рамках исследования были выявлены 20 уязвимостей, связанных с несанкционированным доступом к системным данным, кражей файлов и утечкой информации о телефоне и аккаунтах. Некоторые из проблем возникли из-за ошибок в изменениях кода AOSP, выполненных Xiaomi, включая ошибки в приложениях System Tracing и Настройки, которые могли привести к утечке данных о Wi-Fi и Bluetooth устройствах.
По словам представителя Xiaomi, компания приложила максимум усилий для устранения обнаруженных 20 уязвимостей. В результате, все проблемы безопасности были устранены, и теперь Xiaomi уверяет, что риски для пользователей исключены. Пользователям рекомендуется устанавливать последние обновления ПО для обеспечения максимальной защиты.
Что касается Google, компания также столкнулась с проблемами безопасности в своем коде AOSP. В частности, в приложениях для Pixel обнаружены уязвимости, позволяющие получить доступ к геолокации через камеру и к файлам через компонент WebView. Google подтвердила устранение проблем и заявила о приоритетности безопасности пользователей, подчеркнув важность сотрудничества с исследователями в области безопасности для улучшения защиты экосистемы Android.
Впрочем, некоторые критики указывают на медлительность Google в вопросах устранения уязвимостей, что, по их мнению, требует улучшения процессов разработки и тестирования обновлений безопасности.
В результате проведенной работы обе компании подтвердили свою заинтересованность в повышении уровня безопасности и защиты данных пользователей, подчеркнув значимость оперативного реагирования на обнаруженные проблемы.