CVE-2020-8994

Alto-falante XIAOMI AI MDZ-25-DT, versões 1.34.36 a 1.40.14

Foi descoberta uma vulnerabilidade no alto-falante XIAOMI AI que permite que invasores obtenham acesso ao shell de root explorando a interface UART. Esse acesso permite que eles leiam o SSID ou a senha do Wi-Fi, arquivos de texto de diálogos entre usuários e o alto-falante e utilizem ferramentas de conversão de texto em fala para imitar a voz do alto-falante em ataques de engenharia social. Além disso, invasores podem espionar usuários, gravar áudio, excluir todo o sistema, modificar arquivos do sistema, interromper o serviço de assistente de voz e iniciar o serviço SSH como um backdoor.

Para as versões 1.34.36 a 1.40.14, considere desativar o acesso à interface UART como uma solução temporária até que um patch esteja disponível. Restrinja o acesso às ferramentas de conversão de texto em fala e ao serviço SSH para minimizar o risco de exploração. Evite usar o armazenamento de SSID ou senha de Wi-Fi no dispositivo até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.