SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
19 Sep 2016

Xiaomi может устанавливать на смартфоны любые программы без ведома владельцев

Xiaomi может удаленно установить на любой смартфон собственного производства любое приложение.

Вскрылось это после того, как один нидерландец, обучающийся компьютерной безопасности, обратил внимание на странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне Xiaomi MI4 в режиме 24/7.

После того, как на официальном форуме технической поддержки вопрос о происхождении AnalyticsCore.apk был проигнорирован, Тайс Броенинк провел реверс-инжиниринг приложения и выяснил, что каждые 24 часа оно обменивается данными с официальными серверами компании. Каждый раз приложение отправляло данные об IMEI устройства, MAC-адрес, цифровые подписи и другую информацию. Если же на сервере присутствует обновление в виде Analytics.apk, оно будет автоматически устанавливаться на смартфон без какого-либо подтверждения со стороны пользователя.

Тайс считает, что данное привилегированное приложение от Xiaomi самостоятельно запускает установку в фоновом режиме игнорируя пользователя. Из этого он сделал вывод, что под видом Analytics.apk Xiaomi можно подсунуть любой пакет и установить его принудительно в фоновом режиме. Нидерландец не смог найти никакой информации, зачем именно Xiaomi понадобился подобный бэкдор. Основная проблема заключается в том, что связь apk с сервером происходит по протоколу http и обмен данным подвержен Man-In-The-Middle-атакам.

Еще одна проблема заключается в том, что даже после удаления AnalyticsCore.apk он появляется на телефоне через некоторое время, то есть рядовыми средствами избавиться от него невозможно. До определенного момента команда Xiaomi упорно игнорировала обсуждение AnalyticsCore.apk на официальном форуме технической поддержки компании, но все же предоставила комментарии на эту тему:

    AnalyticsCore является встроенным компонентом MIUI-системы и используется MIUI для анализа данных, чтобы помочь разработчикам компании улучшить UI продуктов.

В тоже время разработчики уверяют, что уязвимости нет, так как Analytics.apk защищен цифровой подписью, которая всегда сверяется перед установкой обновления приложения на смартфон. По их мнению — это достаточная защита данных от злоумышленников.

    Любой apk под видом AnalyticsCore установить не удастся именно по причинам сверки цифровой подписи, а в обновлениях за апрель/май с версии MIUI 7.3 мы добавили поддержку протокола HTTPS для повышения уровня безопасности пользователей и исключения возможности проведения man-in-middle-атаки.

От комментариев на тему возможной принудительной установки любого приложения со стороны Xiaomi на устройство пользователя компания воздержалась.

Теги:
Xiaomi Android утечка информации
Источник:
Geektimes
1308
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015