CVE-2020-10262

XIAOMI XIAOAI speaker Pro LX06 versão 1.58.10

Foi descoberta uma vulnerabilidade no XIAOMI XIAOAI speaker Pro LX06, na qual invasores podem ativar o modo de segurança durante o processo de inicialização e usar o comando mi console, acionado pelo código SN, para obter a senha do shell root. Isso permite que o invasor leia o SSID ou a senha do Wi-Fi, leia arquivos de texto de diálogo entre usuários e o dispositivo, use ferramentas de conversão de texto em fala para imitar a voz do dispositivo em ataques de engenharia social, escute conversas dos usuários e grave o que o dispositivo ouve, modifique arquivos do sistema, envie códigos IR através do emissor de infravermelho, interrompa o serviço de assistente de voz, habilite o serviço SSH ou TELNET como um backdoor e altere a configuração do roteador em redes locais.

Para o alto-falante XIAOMI XIAOAI Pro LX06 versão 1.58.10, como solução temporária, considere desativar o comando mi console e restringir o acesso ao código SN do dispositivo para minimizar o risco de exploração. Além disso, restrinja o acesso ao emissor de infravermelho e ao serviço de assistente de voz até que uma correção esteja disponível. Evite usar as ferramentas de conversão de texto em fala do dispositivo e não confie na voz do dispositivo para informações confidenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.