Xiaomi может удаленно устанавливать на устройства любые приложения без ведома пользователя

.Как известно, производители Android-устройств Xiaomi, HTC, Samsung и OnePlus используют не “чистую” версию операционной системы, а кастомизированную прошивку (например, CyanogenMod, Paranoid Android, MIUI и пр.) с предустановленными приложениями и темами. Теоретически, данные программы призваны повысить производительность смартфонов и добавить функциональность. Тем не менее, некоторые приложения по своему существу являются бэкдорами.

Студент из Нидерландов Тийс Броенинк (Thijs Broenink) решил узнать предназначение неизвестной программы AnalyticsCore.apk, предустановленной на его смартфоне Xiaomi Mi4. Приложение работает в фоновом режиме 24 часа в сутки 7 дней в неделю и восстанавливается после попыток его удалить.

Броенинк поинтересовался, какова функция AnalyticsCore, на форуме поддержки Xiaomi. Так и не дождавшись ответа, он осуществил реверс-инжиниринг приложения. Как оказалось, оно подключается к официальному серверу производителя и проверяет наличие доступных обновлений раз в 24 часа. При каждом подключении AnalyticsCore отправляет на сервер данные об устройстве, в том числе название модели, IMEI, MAC-адрес и Nonce.

При наличии на сервере обновленного приложения с именем файла Analytics.apk оно загружается и устанавливается на устройстве в фоновом режиме без какого-либо участия со стороны пользователя. “Я не обнаружил какие-либо доказательства в коде самого AnalyticsCore, но предполагаю, что приложение Xiaomi с повышенными привилегиями осуществляет процесс инсталляции в фоновом режиме”, - отметил Броеннинк.

Возникает вопрос, проверяет ли смартфон подлинность APK, и каким образом определяет, что загруженное приложение - действительно AnalyticsCore? По словам исследователя, какие-либо механизмы проверки APK отсутствуют, а значит, Xiaomi может удаленно и незаметно установить на устройство любое приложение, загрузив его на свой сервер под именем AnalyticsCore.apk.

Узнать предназначение программы Броеннинку так и не удалось. Найти информацию о нем в Сети и даже на официальном сайте производителя невозможно, поэтому остается только догадываться, зачем Xiaomi устанавливает программу на свои устройства. Помимо самой компании, воспользоваться бэкдором могут правительственные спецслужбы или киберпреступники.
Поскольку AnalyticsCore получает обновления по незащищенному протоколу HTTP, злоумышленники могут осуществить атаку “человек посередине. “Лично я считаю, что это уязвимость, ведь [производителю] известны IMEI и модель вашего телефона, и они могут установить любой APK конкретно на данное устройство”, - подчеркнул исследователь.
Владельцы смартфонов Xiaomi могут обезопасить себя, заблокировав с помощью межсетевого экрана подключение к какому-либо связанному с компанией домену.

16 September 2016

Россия готова помочь Всемирному антидопинговому агентству (WADA) в расследовании кибератак, если такой запрос поступит - пресс-секретарь президента России Дмитрий Песков
Уязвимость в маршрутизаторе Cisco возникла из-за “космической радиации”

• Ubuntu создает "убийцу" Android »»»
Создатели ОС Ubuntu ведут разработку платформы для смартфонов, которая сможет стать альтернативой ОС Android.
• Белорусская компания Белтелеком выпустила "убийцу" Skype и Viber »»»
Компания “Белтелеком” сообщила о запуске услуги IP-телефонии “Максифон”, которая позволяет совершать и принимать звонки с мобильного устройства.
• Исследование активности интернет-пользователей показывает: интерес к мобильным приложениям и социальным сетям Facebook, Instagram, Snapchat и Twitter утрачивается »»»
В рамках исследования, результаты которого опубликованы на портале SimilarWeb, были проанализированы данные по использованию Android-приложений четырёх популярных соцсетей.
• Nokia разрешила устанавливать Skype на свои смартфоны »»»
Производитель мобильных телефонов выпустил программное обеспечение, позволяющее устанавливать на его смартфоны программу Skype.
• Android-приложения уличены в отправке приватных данных рекламным сетям »»»
Исследование, проведенное университетом Пенсильвании, университетом Дьюка и лабораторией компании Intel.


Copyright © 2009
IT-Новости / Dig-Life