Смартфоны Xiaomi подвержены серьезной уязвимости

В этот раз речь пойдет не о взрывающемся Note 7. Сегодня мы рассмотрим сложившуюся ситуацию, связанную с Xiaomi, которая, по мнению студента и одновременно исследователя из Нидерландов, может стать серьезной проблемой в вопросе безопасности и защиты данных.

Смартфоны Xiaomi подвержены серьезной уязвимости. Фото.

Тийс Броенинк является владельцем смартфона Xiaomi Mi4, изучив его, он заметил одно странное приложение AnalyticsCore (com.miui.analytics), которое работало в фоновом режиме. После чего Тийс начал изучать активность приложения, которая его, мягко скажем, удивила.

Для тестирования он скачал dex2jar и Java Decompiler, в котором запустил AnalyticsCore.apk. Первым делом Тийс решил поискать информацию о приложении на официальном форуме Xiaomi, где нашел лишь одну тему, которая осталась без ответа представителей компании. Другими словами, на просторах Интернета Броенинку не удалось найти предназначения приложения.

В Java Decompiler ему удалось найти 3 основных класса, связанные с обновлением AnalyticsCore: c.class, e.class и f.class. В f.class осуществляется проверка обновления каждые 24 часа без ведома пользователя. Производится запрос по следующему адресу: https://sdkconfig.ad.xiaomi.com/api/checkupdate/lastusefulversion?. Класс отправляет на сервера Xiaomi информацию о смартфоне: IMEI, MAC-адрес, модель, Nonce и так далее.

Смартфоны Xiaomi подвержены серьезной уязвимости. Фото.

После того как сервер получит необходимую информацию, смартфон может получить обновленный apk-файл. В классе e.class прописан код скачивания файла. Место, куда скачивается файл, описывается в классе f.class. Вопрос лишь в том, что производит непосредственную установку файла? В коде AnalyticsCore никаких данных найдено не было, поэтому Броенинк предположил, что речь идет скорее о приложении Xiaomi с более высоким приоритетом, которое производит непосредственную установку файла.

В связи с этим возникают новые вопросы. Проверяет ли приложение скачиваемый файл? Если нет, получается, что Xiaomi может без вашего ведома установить любое приложение на ваш смартфон под видом AnalyticsCore.apk. При этом Xiaomi способна контролировать даже точечную установку на конкретное устройство благодаря наличию всех сведений, включая IMEI вашего устройства.

Смартфоны Xiaomi подвержены серьезной уязвимости. Фото.

В действительности же, позже ему подсказали, что установка производится в классе i.class, однако в нем нет никакого опровержения тому, что было сказано выше. Поэтому с полной уверенностью можно утверждать о том, что речь идет об уязвимости, ведь такой возможностью могут воспользоваться недоброжелатели.

Однако у всех пользователей Xiaomi имеется возможность блокировать обмен данными с серверами Xiaomi. В AdAway следует прописать следующее (требуется наличие root-прав):

# This hosts file contains exported entries from AdAway.
127.0.0.1 micloud.xiaomi.net
127.0.0.1 xiaomi.net
127.0.0.1 account.xiaomi.com
127.0.0.1 pdc.micloud.xiaomi.net
127.0.0.1 wifiapi.micloud.xiaomi.net
127.0.0.1 xiaomi.com
127.0.0.1 contactapi.micloud.xiaomi.net

Есть ли среди наших читателей владельцы смартфонов китайского гиганта? Как вы относитесь к данному открытию обычного студента из Нидерландов?

По материалам thijsbroenink

Теги
Лонгриды для вас
Вышел Xiaomi 15 Ultra — лучший камерофон на Android с самым крутым зумом

Еще в октябре прошлого года состоялась презентация Xiaomi 15, в рамках которой китайский производитель показал две базовые модели линейки. Однако Ultra-версию компания традиционно оставила на потом и лишь 27 февраля анонсировала смартфон Xiaomi 15 Ultra. Это самый дорогой и в то же время самый продвинутый представитель серии с неприкрытым акцентом на камеры. Именно ими новый смартфон Xiaomi выделяется на фоне устройств других брендов.

Читать далее
В Россию привезли мощные смартфоны iQOO с батареями, как у повербанков. Они круче любого POCO

Еще пару лет назад об iQOO знала лишь горстка гиков, которая заказывает на AliExpress китайские версии смартфонов, вручную устанавливает сервисы Google, выпиливает следы из Поднебесной и как-то живет с отсутствием нужных частот 4G. С недавнего времени компания официально присутствует на нашем рынке, продавая полностью адаптированные под наши реалии устройства, и, что очень важно, не ломит цены в отечественной рознице. Свежий пример — новые смартфоны iQOO Z10 и iQOO Neo 10, представленные 29 мая в Москве, и уже поступившие в продажу.

Читать далее
Xiaomi обновила 4 важных приложения на HyperOS. Что нового появилось на смартфоне

В рамках подготовки к развертыванию HyperOS 2.1 и HyperOS 2.2 компания Xiaomi решила обновить системные приложения. Сделано это для того, чтобы переход на свежую прошивку оказался бесшовным. Кроме того, обновление приложений HyperОS исправляет ошибки и добавляет новые функции. Что именно — читайте далее, но помните: апдейты распространяются постепенно и в первую очередь становятся доступны на китайской прошивке.

Читать далее
Новости партнеров