小米互联应用曝高危漏洞,攻击者可绕过认证获取设备完全控制权
小米互联应用近日曝出严重安全漏洞(CVE-2024-45347),该漏洞CVSS评分高达9.6分,可能使数百万用户面临设备被未授权访问的风险。攻击者可利用该漏洞绕过认证机制,完全控制运行受影响软件的受害者设备。
漏洞概要
- 小米互联应用存在高危漏洞(CVE-2024-45347),攻击者可绕过验证逻辑获取设备未授权访问权限
- 漏洞源于互联应用协议缺陷,特别是认证机制存在缺陷,可能导致整个系统被攻陷
- 受影响版本为小米互联应用3.1.895.10,用户应立即升级至已修复的3.1.921.10版本
认证绕过漏洞分析
该漏洞源于应用程序验证逻辑的根本性缺陷,恶意攻击者可借此绕过认证。根据小米安全公告,缺陷存在于互联应用协议中,具体涉及验证用户访问权限的认证机制。
这种绕过漏洞使攻击者能够规避正常安全检查,未授权访问运行受影响软件的受害者设备。从技术角度看,攻击者可能利用应用程序通信协议或认证握手过程中的弱点进行攻击。
9.6分的CVSS评分表明,成功利用该漏洞可能导致受影响系统完全沦陷,攻击者可能访问敏感数据、安装恶意软件或维持对受控设备的持久访问。该漏洞由山东大学网络空间安全学院的刘晓峰发现并报告给小米安全中心(MiSRC)。
| 风险因素 | 详情 |
|---|---|
| 受影响产品 | 小米互联应用3.1.895.10 |
| 影响范围 | 未授权访问可导致攻击者完全控制受害者设备 |
| 利用前提 | - 可访问目标设备网络- 了解互联应用协议- 能构造绕过验证逻辑的恶意请求 |
| CVSS 3.1评分 | 9.6(严重) |
受影响版本及安全更新
经确认,小米互联应用3.1.895.10版本存在该安全漏洞。使用该特定版本的用户面临直接风险,应立即更新软件。小米已发布修复版本3.1.921.10,解决了该漏洞并恢复了正常的验证逻辑功能。
小米未披露该漏洞是否已被野外利用,但漏洞的严重性表明用户应优先更新应用程序。互联应用旨在实现小米设备与其他智能家居产品的无缝连接,是该公司生态系统中的关键组件。
小米继续通过MiSRC鼓励安全研究人员参与其漏洞赏金计划,强调其保护全球数亿用户的承诺。公司表示,与安全社区的合作对于在漏洞被恶意利用前发现和解决问题至关重要。