小米互聯應用近日曝出嚴重安全漏洞（CVE-2024-45347），該漏洞CVSS評分高達9.6分，可能使數百萬用戶面臨設備被未授權訪問的風險。攻擊者可利用該漏洞繞過認證機制，完全控制運行受影響軟件的受害者設備。

漏洞概要

• 小米互聯應用存在高危漏洞（CVE-2024-45347），攻擊者可繞過驗證邏輯獲取設備未授權訪問權限
• 漏洞源于互聯應用協議缺陷，特別是認證機制存在缺陷，可能導致整個系統被攻陷
• 受影響版本為小米互聯應用3.1.895.10，用戶應立即升級至已修復的3.1.921.10版本

認證繞過漏洞分析

該漏洞源于應用程序驗證邏輯的根本性缺陷，惡意攻擊者可借此繞過認證。根據小米安全公告，缺陷存在于互聯應用協議中，具體涉及驗證用戶訪問權限的認證機制。

這種繞過漏洞使攻擊者能夠規避正常安全檢查，未授權訪問運行受影響軟件的受害者設備。從技術角度看，攻擊者可能利用應用程序通信協議或認證握手過程中的弱點進行攻擊。

9.6分的CVSS評分表明，成功利用該漏洞可能導致受影響系統完全淪陷，攻擊者可能訪問敏感數據、安裝惡意軟件或維持對受控設備的持久訪問。該漏洞由山東大學網絡空間安全學院的劉曉峰發現并報告給小米安全中心（MiSRC）。

受影響版本及安全更新

經確認，小米互聯應用3.1.895.10版本存在該安全漏洞。使用該特定版本的用戶面臨直接風險，應立即更新軟件。小米已發布修復版本3.1.921.10，解決了該漏洞并恢復了正常的驗證邏輯功能。

小米未披露該漏洞是否已被野外利用，但漏洞的嚴重性表明用戶應優先更新應用程序。互聯應用旨在實現小米設備與其他智能家居產品的無縫連接，是該公司生態系統中的關鍵組件。

小米繼續通過MiSRC鼓勵安全研究人員參與其漏洞賞金計劃，強調其保護全球數億用戶的承諾。公司表示，與安全社區的合作對于在漏洞被惡意利用前發現和解決問題至關重要。