小米互聯(lián)應用近日曝出嚴重安全漏洞（CVE-2024-45347），該漏洞CVSS評分高達9.6分，可能使數(shù)百萬用戶面臨設備被未授權訪問的風險。攻擊者可利用該漏洞繞過認證機制，完全控制運行受影響軟件的受害者設備。

漏洞概要

• 小米互聯(lián)應用存在高危漏洞（CVE-2024-45347），攻擊者可繞過驗證邏輯獲取設備未授權訪問權限
• 漏洞源于互聯(lián)應用協(xié)議缺陷，特別是認證機制存在缺陷，可能導致整個系統(tǒng)被攻陷
• 受影響版本為小米互聯(lián)應用3.1.895.10，用戶應立即升級至已修復的3.1.921.10版本

認證繞過漏洞分析

該漏洞源于應用程序驗證邏輯的根本性缺陷，惡意攻擊者可借此繞過認證。根據(jù)小米安全公告，缺陷存在于互聯(lián)應用協(xié)議中，具體涉及驗證用戶訪問權限的認證機制。

這種繞過漏洞使攻擊者能夠規(guī)避正常安全檢查，未授權訪問運行受影響軟件的受害者設備。從技術角度看，攻擊者可能利用應用程序通信協(xié)議或認證握手過程中的弱點進行攻擊。

9.6分的CVSS評分表明，成功利用該漏洞可能導致受影響系統(tǒng)完全淪陷，攻擊者可能訪問敏感數(shù)據(jù)、安裝惡意軟件或維持對受控設備的持久訪問。該漏洞由山東大學網(wǎng)絡空間安全學院的劉曉峰發(fā)現(xiàn)并報告給小米安全中心（MiSRC）。

受影響版本及安全更新

經(jīng)確認，小米互聯(lián)應用3.1.895.10版本存在該安全漏洞。使用該特定版本的用戶面臨直接風險，應立即更新軟件。小米已發(fā)布修復版本3.1.921.10，解決了該漏洞并恢復了正常的驗證邏輯功能。

小米未披露該漏洞是否已被野外利用，但漏洞的嚴重性表明用戶應優(yōu)先更新應用程序。互聯(lián)應用旨在實現(xiàn)小米設備與其他智能家居產(chǎn)品的無縫連接，是該公司生態(tài)系統(tǒng)中的關鍵組件。

小米繼續(xù)通過MiSRC鼓勵安全研究人員參與其漏洞賞金計劃，強調(diào)其保護全球數(shù)億用戶的承諾。公司表示，與安全社區(qū)的合作對于在漏洞被惡意利用前發(fā)現(xiàn)和解決問題至關重要。