Xiaomi может удаленно установить на любой смартфон собственного производства любое приложение. Вскрылось это после того, как один нидерландец, обучающийся компьютерной безопасности, обратил внимание на странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне Xiaomi MI4 в режиме 24/7.
После того, как на официальном форуме технической поддержки вопрос о происхождении AnalyticsCore.apk был проигнорирован, Тайс Броенинк провел реверс-инжиниринг приложения и выяснил, что каждые 24 часа оно обменивается данными с официальными серверами компании. Каждый раз приложение отправляло данные об IMEI устройства, MAC-адрес, цифровые подписи и другую информацию. Если же на сервере присуствует обновление в виде Analytics.apk, оно будет автоматически устанавливаться на смартфон без какого-либо подтверждения со стороны пользователя.
Тайс считает, что данное привелигерованное приложение от Xiaomi самостоятельно запускает установку в фоновом режиме игнорируя пользователя. Из этого он сделал вывод, что под видом Analytics.apk Xiaomi может подсунуть любой пакет и установить его принудительно в фоновом режиме.
Нидерландец не смог найти никакой информации, зачем именно Xiaomi понадобился подобный бэкдор. Основная проблема заключается в том, что связь apk с сервером происходит по протоколу http и обмен данным подвержен Man-In-The-Middle-атакам.
Еще одна проблема заключается в том, что даже после удаления AnalyticsCore.apk он появляется на телефоне через некоторое время, т.е. рядовыми средствами избавиться от него невозможно.
До определенного момента команда Xiaomi упорно игнорировала обсуждение AnalyticsCore.apk на официальном форуме технической поддержки компании, но все же предоставила комментарии на эту тему:
AnalyticsCore является встроенным компонентом MIUI-системы и используется MIUI для анализа данных, чтобы помочь разработчикам компании улучших UI продуктов.
В тоже время разработчики уверяют, что уязвимости нет, так как Analytics.apk защищен цифровой подписью, которая всегда сверяется перед установкой обновления приложения на смартфон. По их мнению — это достаточная защита от злоумышленников.
Любой apk под видом AnalyticsCore установить не удастся именно по причинам сверки цифровой подписи, а в обновлениях за апрель/май с версии MIUI 7.3 мы добавили поддержку протокола HTTPS для повышения уровня безопасности пользователей и исключения возможности проведения man-in-middle-атаки.
От комментариев на тему возможной принудительной установки любого приложения со стороны Xiaomi на устройство пользователя компания воздержалась.
Комментарии (11)
qw1
16.09.2016 23:30Примерно такая же аналитика сливается смартфонами HTC.
Объяснение понятное — компании хотят знать, какие люди являются их клиентами, какими пользуются приложениями и в каких условиях, чтобы эту информацию искпользовать в дальнейших маркетинговых кампаниях.
Заодно сливаются креш-дампы, чтобы оперативно латать системные приложения. Помню, несколько лет назад с очередных обновлением «погода» стала падать у HTC за полярным кругом, потому что сервисы не предоставляли информацию о времени восхода солнца. Без креш-дампов это фиг отловишь, а обычные юзеры снять их сами не смогут.
Joric
16.09.2016 23:56+2Там официальный ответ пришел http://thehackernews.com/2016/09/xiaomi-android-backdoor.html
Official Statement From Xiaomi
A Xiaomi spokesperson has reached out The Hacker News with an official statement for the claims made by Thijs Broenink about a backdoor that let hackers, as well as Xiaomi itself, to secretly install any application on the millions of affected devices, saying:
AnalyticsCore is a built-in MIUI system component that is used by MIUI components for the purpose of data analysis to help improve user experience, such as MIUI Error Analytics.
Although the company did not deny or comment anything about its ability to automatically install any app onto your device in the background without your interaction, the spokesperson has clarified that hackers would not be able to exploit this «self-upgrade» feature.
As a security measure, MIUI checks the signature of the Analytics.apk app during installation or upgrade to ensure that only the APK with the official and correct signature will be installed.
Any APK without an official signature will fail to install. As AnalyticsCore is key to ensuring better user experience, it supports a self-upgrade feature. Starting from MIUI V7.3 released in April/May, HTTPS was enabled to further secure data transfer, to prevent any man-in-the-middle attacks.
assign
17.09.2016 00:14+1Кхм, а у меня нет Analytics в списке, что делать)
Дайте линк смартфонов подверженых риску…
ncix
17.09.2016 10:19А еще Google может установить что угодно. Или разработчик любого приложения, которое у вас уже установлено. С очередным апдейтом.
apakin
«Согласно последней информации»
Joric
Да, кстати, на форуме эта «новость» годичной давности, а в ссылке про реверс люди пишут, что The process does not seem to be running on the 7.5.1 Global ROM.