Xiaomi может удаленно установить на любой смартфон собственного производства любое приложение.
Вскрылось это после того, как один нидерландец, обучающийся компьютерной безопасности, обратил внимание на странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне Xiaomi MI4 в режиме 24/7.
После того, как на официальном форуме технической поддержки вопрос о происхождении AnalyticsCore.apk был проигнорирован, Тайс Броенинк провел реверс-инжиниринг приложения и выяснил, что каждые 24 часа оно обменивается данными с официальными серверами компании. Каждый раз приложение отправляло данные об IMEI устройства, MAC-адрес, цифровые подписи и другую информацию. Если же на сервере присутствует обновление в виде Analytics.apk, оно будет автоматически устанавливаться на смартфон без какого-либо подтверждения со стороны пользователя.
Нидерландец не смог найти никакой информации, зачем именно Xiaomi понадобился подобный бэкдор. Основная проблема заключается в том, что связь apk с сервером происходит по протоколу http и обмен данным подвержен Man-In-The-Middle-атакам.
Еще одна проблема заключается в том, что даже после удаления AnalyticsCore.apk он появляется на телефоне через некоторое время, т.е. рядовыми средствами избавиться от него невозможно.
До определенного момента команда Xiaomi упорно игнорировала обсуждение AnalyticsCore.apk на официальном форуме технической поддержки компании, но все же предоставила комментарии на эту тему:
AnalyticsCore является встроенным компонентом MIUI-системы и используется MIUI для анализа данных, чтобы помочь разработчикам компании улучшить UI продуктов.
В тоже время разработчики уверяют, что уязвимости нет, так как Analytics.apk защищен цифровой подписью, которая всегда сверяется перед установкой обновления приложения на смартфон. По их мнению — это достаточная защита от злоумышленников.
Любой apk под видом AnalyticsCore установить не удастся именно по причинам сверки цифровой подписи, а в обновлениях за апрель/май с версии MIUI 7.3 мы добавили поддержку протокола HTTPS для повышения уровня безопасности пользователей и исключения возможности проведения man-in-middle-атаки.
От комментариев на тему возможной принудительной установки любого приложения со стороны Xiaomi на устройство пользователя компания воздержалась.
Напомним что компания Lenovo принудительно устанавливает в удаленном режиме на свои смартфоны приложения уже очень давно. При этом они также не оповещают своих пользователей об этом.