Смартфоны Xiaomi подвержены серьезной уязвимости

В этот раз речь пойдет не о взрывающемся Note 7. Сегодня мы рассмотрим сложившуюся ситуацию, связанную с Xiaomi, которая, по мнению студента и одновременно исследователя из Нидерландов, может стать серьезной проблемой в вопросе безопасности и защиты данных.

Смартфоны Xiaomi подвержены серьезной уязвимости. Фото.

Тийс Броенинк является владельцем смартфона Xiaomi Mi4, изучив его, он заметил одно странное приложение AnalyticsCore (com.miui.analytics), которое работало в фоновом режиме. После чего Тийс начал изучать активность приложения, которая его, мягко скажем, удивила.

Для тестирования он скачал dex2jar и Java Decompiler, в котором запустил AnalyticsCore.apk. Первым делом Тийс решил поискать информацию о приложении на официальном форуме Xiaomi, где нашел лишь одну тему, которая осталась без ответа представителей компании. Другими словами, на просторах Интернета Броенинку не удалось найти предназначения приложения.

В Java Decompiler ему удалось найти 3 основных класса, связанные с обновлением AnalyticsCore: c.class, e.class и f.class. В f.class осуществляется проверка обновления каждые 24 часа без ведома пользователя. Производится запрос по следующему адресу: https://sdkconfig.ad.xiaomi.com/api/checkupdate/lastusefulversion?. Класс отправляет на сервера Xiaomi информацию о смартфоне: IMEI, MAC-адрес, модель, Nonce и так далее.

Смартфоны Xiaomi подвержены серьезной уязвимости. Фото.

После того как сервер получит необходимую информацию, смартфон может получить обновленный apk-файл. В классе e.class прописан код скачивания файла. Место, куда скачивается файл, описывается в классе f.class. Вопрос лишь в том, что производит непосредственную установку файла? В коде AnalyticsCore никаких данных найдено не было, поэтому Броенинк предположил, что речь идет скорее о приложении Xiaomi с более высоким приоритетом, которое производит непосредственную установку файла.

В связи с этим возникают новые вопросы. Проверяет ли приложение скачиваемый файл? Если нет, получается, что Xiaomi может без вашего ведома установить любое приложение на ваш смартфон под видом AnalyticsCore.apk. При этом Xiaomi способна контролировать даже точечную установку на конкретное устройство благодаря наличию всех сведений, включая IMEI вашего устройства.

Смартфоны Xiaomi подвержены серьезной уязвимости. Фото.

В действительности же, позже ему подсказали, что установка производится в классе i.class, однако в нем нет никакого опровержения тому, что было сказано выше. Поэтому с полной уверенностью можно утверждать о том, что речь идет об уязвимости, ведь такой возможностью могут воспользоваться недоброжелатели.

Однако у всех пользователей Xiaomi имеется возможность блокировать обмен данными с серверами Xiaomi. В AdAway следует прописать следующее (требуется наличие root-прав):

# This hosts file contains exported entries from AdAway.
127.0.0.1 micloud.xiaomi.net
127.0.0.1 xiaomi.net
127.0.0.1 account.xiaomi.com
127.0.0.1 pdc.micloud.xiaomi.net
127.0.0.1 wifiapi.micloud.xiaomi.net
127.0.0.1 xiaomi.com
127.0.0.1 contactapi.micloud.xiaomi.net

Есть ли среди наших читателей владельцы смартфонов китайского гиганта? Как вы относитесь к данному открытию обычного студента из Нидерландов?

По материалам thijsbroenink

Теги
Лонгриды для вас
Чем опасен VPN, и что Google делает для нашей защиты

Для многих пользователей VPN является ежедневной частью жизни. Они читают через него новости, пользуются приложениями и листают социальные сети. Но полностью доверять этим сервисам нельзя, ведь ваши запросы и часто даже данные проходят через сторонние серверы, где с ними может делаться что угодно. Если бы это были все риски, связанные с использованием VPN, этот мир можно было бы назвать идеальным. Но все намного сложнее, и об опасности такого способа использования интернета задумалась даже Google.

Читать далее
Пришло время покупать складные телефоны. Объясняю на примере Huawei Mate X3

После того, как компания Huawei представила свою складную новинку этого года, я понял, что хочу себе такой телефон. Уверен, многие подумали так же, ведь этот смартфон даже по фотографиям получился на редкость интересным. Но, забегая вперед, я могу сказать, что он не только отлично выглядит, но и замечательно работает. А самое главное, он может изменить отношение пользователей к складным смартфонам в целом. По крайней мере, я понял, что ими уже не просто можно, а даже нужно пользоваться. Конечно, если вы готовы заплатить за это устройство. Но ведь и стоит оно уже примерно столько же, сколько обычный флагман.

Читать далее
Как включить режим картинка в картинке на Android, и что делать, если он не работает

Все смартфоны, работающие на Android 8 и выше, поддерживают режим картинка в картинке (Picture-in-Picture). Он позволяет смотреть видео в отдельном окошке, попутно пользуясь другим приложением, будь то игра, веб-браузер или мессенджер. Подобный сценарий помогает решать две задачи одновременно, однако работа картинки в картинке на Андроид вызывает массу вопросов. Все ли приложения поддерживают такой режим, как смотреть видео в отдельном окне, и что делать, если ничего не получается.

Читать далее