PT-2020-12012 · Xiaomi · Xiaomi Xiaoai Speaker Pro Lx06
Guan-Wei Hou
+3
·
Publicado
2020-04-08
·
Atualizado
2021-07-21
·
CVE-2020-10263
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Alto-falante XIAOMI XIAOAI Pro LX06, versão 1.52.4
Descrição
Foi descoberta uma falha que permite que invasores obtenham acesso ao shell de root por meio da interface UART. Esse acesso possibilita diversas atividades maliciosas, incluindo:
-
leitura do SSID ou senha do Wi-Fi,
-
leitura de arquivos de texto de diálogos entre usuários e o dispositivo,
-
uso de ferramentas de conversão de texto em fala para se passar pela voz do dispositivo em ataques de engenharia social,
-
escuta clandestina dos usuários e gravação do que o dispositivo ouve,
-
modificação de arquivos do sistema,
-
envio de qualquer código IR através do emissor de infravermelho,
-
interromper o serviço de assistente de voz,
-
habilitar o serviço SSH ou TELNET do dispositivo como um backdoor,
-
adulterar a configuração do roteador em redes locais.
Recomendações
Para o alto-falante XIAOMI XIAOAI Pro LX06 versão 1.52.4, como solução temporária, considere restringir o acesso físico à interface UART até que uma correção esteja disponível. Além disso, restrinja o acesso à rede do dispositivo para minimizar o risco de exploração. Evite usar a funcionalidade de conversão de texto em fala e o emissor de infravermelho do dispositivo até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xiaomi Xiaoai Speaker Pro Lx06