Смартфоны Xiaomi подвержены серьезной уязвимости

В этот раз речь пойдет не о взрывающемся Note 7. Сегодня мы рассмотрим сложившуюся ситуацию, связанную с Xiaomi, которая, по мнению студента и одновременно исследователя из Нидерландов, может стать серьезной проблемой в вопросе безопасности и защиты данных.

Xiaomi Mi 5 Ceramic

Тийс Броенинк является владельцем смартфона Xiaomi Mi4, изучив его, он заметил одно странное приложение AnalyticsCore (com.miui.analytics), которое работало в фоновом режиме. После чего Тийс начал изучать активность приложения, которая его, мягко скажем, удивила.

Для тестирования он скачал dex2jar и Java Decompiler, в котором запустил AnalyticsCore.apk. Первым делом Тийс решил поискать информацию о приложении на официальном форуме Xiaomi, где нашел лишь одну тему, которая осталась без ответа представителей компании. Другими словами, на просторах Интернета Броенинку не удалось найти предназначения приложения.

В Java Decompiler ему удалось найти 3 основных класса, связанные с обновлением AnalyticsCore: c.class, e.class и f.class. В f.class осуществляется проверка обновления каждые 24 часа без ведома пользователя. Производится запрос по следующему адресу: http://sdkconfig.ad.xiaomi.com/api/checkupdate/lastusefulversion?. Класс отправляет на сервера Xiaomi информацию о смартфоне: IMEI, MAC-адрес, модель, Nonce и так далее.

Xiaomi Mi 4

После того как сервер получит необходимую информацию, смартфон может получить обновленный apk-файл. В классе e.class прописан код скачивания файла. Место, куда скачивается файл, описывается в классе f.class. Вопрос лишь в том, что производит непосредственную установку файла? В коде AnalyticsCore никаких данных найдено не было, поэтому Броенинк предположил, что речь идет скорее о приложении Xiaomi с более высоким приоритетом, которое производит непосредственную установку файла.

В связи с этим возникают новые вопросы. Проверяет ли приложение скачиваемый файл? Если нет, получается, что Xiaomi может без вашего ведома установить любое приложение на ваш смартфон под видом AnalyticsCore.apk. При этом Xiaomi способна контролировать даже точечную установку на конкретное устройство благодаря наличию всех сведений, включая IMEI вашего устройства.

Xiaomi  Mi4

В действительности же, позже ему подсказали, что установка производится в классе i.class, однако в нем нет никакого опровержения тому, что было сказано выше. Поэтому с полной уверенностью можно утверждать о том, что речь идет об уязвимости, ведь такой возможностью могут воспользоваться недоброжелатели.

Однако у всех пользователей Xiaomi имеется возможность блокировать обмен данными с серверами Xiaomi. В AdAway следует прописать следующее (требуется наличие root-прав):

# This hosts file contains exported entries from AdAway.
127.0.0.1 micloud.xiaomi.net
127.0.0.1 xiaomi.net
127.0.0.1 account.xiaomi.com
127.0.0.1 pdc.micloud.xiaomi.net
127.0.0.1 wifiapi.micloud.xiaomi.net
127.0.0.1 xiaomi.com
127.0.0.1 contactapi.micloud.xiaomi.net

Есть ли среди наших читателей владельцы смартфонов китайского гиганта? Как вы относитесь к данному открытию обычного студента из Нидерландов?

По материалам thijsbroenink

Теги
Лонгриды для вас
Apple
Как Apple выиграет от запрета Huawei в ближайшие годы

Живет на нашей планете скромный на вид человек по имени Минг-Чи Куо. Его имя часто фигурирует, когда мы говорим о каких-то прогнозах им мира смартфонов. Иногда аналитик делится своим видением относительно другой электроники, но наибольшего успеха он добился в прогнозировании того, что происходит с Apple. Именно его имя чаще всего фигурирует в новостях о готовящихся гаджетах яблочной компании. Более того, учитывая, как часто его прогнозы сбываются, фанаты iPhone просто не проходят мимо его ”предсказаний”. Что это - талант аналитика, наличие инсайдеров или просто везение? Сказать сложно. Но сам факт частого подтверждения прогнозов вызывает уважение и интерес. Сейчас он высказался относительно iPhone и Huawei. Вот, что он сказал.

Читать далее
Xiaomi
Основатель Xiaomi рассказал о небывалой популярности старой модели

Смартфоны Xiaomi для многих являются синонимом этого направления техники. Я лично знаю много людей, которые ни за что не купят устройство другой марки, и такая преданность может быть вполне обоснованной. Есть даже отдельная категория людей, которые готовы пользоваться старым смартфоном из-за того, что до сих пор считают его лучшим. Именно об этих людях рассказал Лэй Цзюнь и поделился моделью, которая так нравится этим пользователям. Я тоже пользовался ей какое-то время. Но это было очень давно. Оказывается, у нее до сих пор предостаточно фанатов по всему миру и компания даже обсуждает вариант ее перевыпуска. Хотя и после нее было в истории компании много всего хорошего.

Читать далее
Huawei
Huawei Mate 50 Pro может получить Snapdragon 898. Но не спешите радоваться

Если вы думали, что Hauwei лишилась процессоров и больше никогда не сможет производить смартфоны, это не совсем так. Несмотря на серьезность санкций, которые наложены на компанию, она все равно может покупать процессоры и даже устанавливать их в свои смартфоны. Даже было уточнение со стороны американского правительства, которое дало понять, что Huawei не полностью лишается чипов. Благодаря этому компания и получила возможность работать дальше, пусть и производя чуть урезанные телефоны. Теперь стало известно, что компания с определенной долей вероятности сможет использовать процессор Snapdragon 898 для ее долгожданного Huawei Mate 50 Pro. Но чем ей придется поступиться ради этого?

Читать далее
6 комментариев
  1. svirhok

    Ну-ну, выбрось смартфон, отключи интернет и сиди в подвале

  2. ozman

    Уверен все не так просто, как описывается в статье. Вскоре напишут, что Xiaomi не могут получить доступ,а данные им чтобы проверять ошибки, ну и обновления, куда же без них.

  3. rustam9700007

    Я не думаю, что у Xiaomi какойто план захвата земли… Возможно они эту уязвимость в скором времени исправят.. Я лично с miui 7 в запущенных программах не нашел этот файл… Там тоже не тупые люди сидят..

  4. Rihbert

    А ябы не думал так, что китайцы такие милые и пушистые, они приняли очень шикарную планку развития экономики, уже даже лично Китай сами создали запустили в космос без какой либо помощи СТАНЦИЮ!!! То что они заняли нишу в развитии технологий на рынке всевозможных гаджетов и автопрома это еще цветочки. Все новые технологии обязательно проходят через руки Китайцев и они имеют усе права на создание и сборку любой техники, поэтому диктовать правила будут они. Все что не придумает США, это будут знать Китайцы, они тупо задавят всех.

  5. Powerteks

    Скорее всего это приложение защиты от кражи. Поэтому нужен имей и прочее, а скачивает оно приложение блокируещее смартфон. Имхо.

  6. rustam9700007

    Даже если они получают инфу об устройствах, вряд ли они дадут кому нибудь третьему лицу получить доступ к их устройствам…

Новый комментарий