福布斯：安全研究人员警告20个安全漏洞对小米用户构成威胁

安全研究人员发现一系列漏洞后，敦促小米用户更新设备。 

研究人员发现20个安全漏洞与部署的谷歌Android操作系统有关。小米公司一周内修复了这些漏洞，用户应尽快更新手机系统。

网络安全研究人员表示，小米智能手机存在的安全缺陷，可能会让黑客窃取密码并危及社交媒体帐户。

发现这些漏洞的移动安全初创公司Oversecured 的创始人谢尔盖·托辛 (Sergey Toshin) 表示，这些缺陷影响了小米设备上运行的多种软件，从设置应用程序到蓝牙软件。

Toshin 告诉《福布斯》，最危险的缺陷可能会被滥用来授予攻击者“系统权限”，从而窃取用户密码并访问私人用户文件，Toshin 并不认为这些漏洞已被恶意黑客利用。

“小米需要在设备安全方面投入更多资源。”谢尔盖·托申 (Sergey Toshin)Oversecured 创始人表示。

如果黑客想要利用最严重的弱点，他们可能会尝试通过网络钓鱼或在 Google Play 等市场上推送恶意应用程序，在小米手机上安装恶意应用程序。

Toshin 表示，黑客可以使用该应用程序来利用其中一个弱点，并执行诸如拦截受害者的社交网络消息、获取用户联系人以及收集有关其连接的蓝牙设备的信息等操作。

Oversecured 上周在小米 13 Ultra 上测试后向小米披露了这些缺陷。“我们相信每个设备都容易受到攻击，因为[缺陷]是固件的一部分。”Toshin 说。他表示，这家中国公司在一周内修复了这些漏洞。

他表示，如果小米作为其在 HackerOne 平台上运行的漏洞赏金计划的一部分，向黑客提供更大的奖励，也许能够避免重大问题。

根据 HackerOne 的数据，其平均支出在 80 至 100 美元之间，在过去 90 天内奖励黑客 2,600 美元。相比之下，谷歌在 2023 年向 Android 安全研究人员支付了340 万美元。

小米表示，该公司拥有“业界领先的安全团队”，并正在与谷歌和 Hackerone 合作“构建安全的 Android 系统”。Toshin 表示，小米目前的支出“明显低于谷歌”，并且“小米需要在其设备的安全性上投入更多资源。”

有关这些漏洞的详细信息，可参考Oversecured 研究人员的技术博客文章：https://blog.oversecured.com/20-Security-Issues-Found-in-Xiaomi-Devices/

参考链接：https://www.forbes.com/sites/thomasbrewster/2024/05/02/xiaomi-vulnerabilities-pose-a-threat-to-all-users-researchers-warn/