Mae Xiaomi yn wynebu un o’r gwendidau diogelwch mwyaf difrifol a nodwyd erioed yn ei system weithredu HyperOS. Mae’r diffyg yn effeithio ar fwy na 160 o fodelau ffôn clyfar o’r brandiau Xiaomi, POCO a Redmi, gan ganiatáu i ymosodwyr chwistrellu malware neu gael caniatâd system uchel trwy orchmynion penodol trwy ADB. Mae Especialistas mewn seiberddiogelwch yn tynnu sylw at y ffaith y gall y broblem beryglu data personol a chaniatáu rheolaeth bell ar y ddyfais, hyd yn oed ar ddyfeisiau sydd â llwyth cychwyn dan glo.
Mae’r bregusrwydd yn gorwedd mewn gwasanaeth diagnostig mewnol o’r enw miui.mqsas.IMQSNative. Mae Atacantes yn manteisio ar y gydran hon trwy anfon gorchmynion ADB wedi’u targedu, sy’n arwain at weithredu cod heb awdurdod a mynediad sy’n cyfateb i freintiau gwraidd. Mae math Esse o doriad yn cynrychioli risg sylweddol oherwydd nid oes angen datgloi’r cychwynnydd yn gorfforol, gan hwyluso ymosodiadau o bell neu leol mewn senarios defnydd cyffredin.
Mae defnyddwyr sy’n cadw USB Debugging wedi’i actifadu mewn mwy o berygl, gan fod y dull ecsbloetio yn dibynnu ar y cyfluniad hwn i weithio. Mae dadactifadu’r opsiwn hwn ar unwaith yng ngosodiadau’r ddyfais yn ymddangos fel y prif fesur amddiffyn dros dro a argymhellir gan ymchwilwyr.
Risg o oresgyniad ac effeithiau posibl
Gall manteisio ar y diffyg arwain at ganlyniadau difrifol i berchnogion dyfeisiau. Gall Atacantes osod malware parhaus, dwyn gwybodaeth sensitif fel cyfrineiriau, manylion bancio a negeseuon, neu hyd yn oed niweidio’r system weithredu yn barhaol. Mewn achosion eithafol, efallai na fydd modd defnyddio’r ddyfais ar ôl gweithredu gorchmynion maleisus.
Nododd ymchwilwyr fod y bregusrwydd yn parhau yn fersiynau HyperOS 1, 2 a 3. Mae Modelos hŷn a mwy diweddar yn cael eu hamlygu, sy’n ehangu cwmpas y broblem i filiynau o ddefnyddwyr ledled y byd. Mae diffyg gwreiddio blaenorol yn gwneud y bygythiad yn arbennig o bryderus o’i gymharu â diffygion tebyg eraill.
Dyfeisiau yr effeithir arnynt gan y toriad
Mae’r rhestr o offer yr effeithir arnynt yn cynnwys ystod eang o linellau poblogaidd. Entre y modelau a grybwyllir yw’r Xiaomi 11T, Redmi Note 10 Pro, POCO F4 GT a sawl un arall o’r gyfres Redmi Note, yn ogystal â datganiadau mwy diweddar sy’n rhedeg HyperOS. Mae’r ystod yn fwy na 160 o amrywiadau, yn amrywio o lefel mynediad i ben-yr-ystod.
- Xiaomi 11T a 11T Pro
- Redmi Note 10 cyfres
- Cyfres POCO F a chyfres X
- Rhyddhawyd modelau amrywiol Redmi a Xiaomi yn ystod y blynyddoedd diwethaf
Mae Xiaomi yn gweithio ar nodi’r rhestr yn llawn i ddarparu canllawiau model-benodol. Rhaid i Usuários wirio diweddariadau system yn rheolaidd i gymhwyso atgyweiriadau pan gânt eu rhyddhau.
Mesurau amddiffynnol ar unwaith
Y prif argymhelliad yw analluogi USB Debugging cyn gynted â phosibl. Mae defnyddwyr yn mynd i lwybr y datblygwr Configurações> Configurações ychwanegol> Opções a dad-diciwch yr opsiwn USB Debugging a dirymu awdurdodiadau dadfygio blaenorol. Mae gweithredu Essa yn blocio’r prif fector ymosodiad heb gyfaddawdu ar swyddogaethau bob dydd y ddyfais.
Mae cadw’r system yn gyfredol yn cynrychioli amddiffyniad hanfodol arall. Mae’r cwmni’n paratoi darn diogelwch ar gyfer mis Mawrth 2026, a ddylai gywiro’r diffyg yn bendant. Enquanto nid yw’r diweddariad yn cyrraedd, mae osgoi cysylltu’r ddyfais â chyfrifiaduron anhysbys neu weithredu gorchmynion ADB o ffynonellau di-ymddiried yn lleihau risgiau.
Cyd-destun y bregusrwydd yn HyperOS
Disodlodd HyperOS MIUI mewn sawl marchnad a daeth â gwelliannau mewn perfformiad ac integreiddio rhwng dyfeisiau. Apesar o’r datblygiadau, datgelodd y trawsnewid bwyntiau o sylw mewn gwasanaethau diagnostig etifeddol, sy’n hwyluso profion mewnol ond sy’n creu bylchau pan nad ydynt wedi’u diogelu’n ddigonol. Mae Especialistas yn nodi bod methiannau tebyg yn digwydd mewn systemau Android arferol oherwydd cymhlethdod haenau ychwanegol.
Mae dosbarthiad HyperOS 3 yn cyrraedd bron i 100% o ddyfeisiau cymwys, ac eithrio achosion ynysig fel yr Xiaomi 13T. Mae Isso yn golygu bod mwyafrif y defnyddwyr eisoes yn gweithredu ar y fersiwn yr effeithiwyd arno, gan gynyddu brys yr atgyweiriad. Mae Xiaomi yn cynnal sianeli swyddogol ar gyfer lledaenu diweddariadau a rhybuddion diogelwch.
Canllawiau defnyddiwr a’r camau nesaf
Dylai perchnogion dyfeisiau yr effeithir arnynt fonitro hysbysiadau diweddaru meddalwedd. Mae gosod y clwt cyn gynted ag y bydd ar gael yn barhaol yn dileu’r bregusrwydd. Enquanto hyn, mae arferion diogelwch sylfaenol, megis osgoi sideloading apps anhysbys a defnyddio antivirus dibynadwy, yn ategu’r mesurau.
Mae’r cwmni’n atgyfnerthu nad oes tystiolaeth o ecsbloetio torfol o’r diffyg hyd yn hyn. Fodd bynnag, mae datgelu’r bregusrwydd yn gyhoeddus yn gofyn am fwy o ofal ar ran defnyddwyr. Mae Pesquisadores yn parhau i ddadansoddi amrywiadau o’r toriad i sicrhau bod y clwt yn cwmpasu’r holl bosibiliadau.
Diweddariadau ac ymateb gan y gwneuthurwr
Mae Xiaomi wedi cadarnhau derbyn yr adroddiad bregusrwydd ac mae’n gweithio’n gyflym i ryddhau’r atgyweiriad. Rhaid i Boletins fanylu ar yr union fodelau a’r camau ar gyfer dilysu ôl-uwchraddio. Mae Usuários mewn rhanbarthau â chefnogaeth swyddogol yn derbyn diweddariadau trwy OTA yn raddol.
Mae ymateb cyflym y gwneuthurwr yn dangos ymrwymiad i ddiogelwch defnyddwyr. Mae Casos tebyg yn y gorffennol wedi arwain at ddiweddariadau ystwyth, a disgwylir patrwm tebyg yn y sefyllfa hon. Mae’r gymuned ddefnyddwyr yn dilyn y sianeli swyddogol ar gyfer newyddion am y clwt yn agos.
Mae’r bregusrwydd yn HyperOS yn tynnu sylw at bwysigrwydd defnyddio gosodiadau datblygwyr dim ond pan fo angen. Mae opsiynau Desativar fel USB Debugging ar ôl eu defnyddio yn atal amlygiad diangen ar systemau symudol. Anaml y mae angen y swyddogaeth hon ar Usuários nad ydynt yn defnyddio offer datblygu.