Smartfony Xiaomi można zainstalować na dowolnym programie bez wiedzy właściciela
Android / / December 19, 2019
Firma Xiaomi smartfony znany nie tylko wielką wartość dla pieniędzy, ale również markowe systemu operacyjnego MIUI. Jednak ostatnio nie odkryli poważną lukę.
W tym czasie MIUI rozpoczął jako prosty dodatek Androida. Stopniowo porośnięte wszystkich nowych programów, ustawień i funkcji, tak że dziś można stwierdzić, że jest to niezależny system operacyjny, choć ma w swej istocie z Androidem.
Wśród licznych oprogramowania „korporacyjnej” dostępnej w MIUI, badacz bezpieczeństwa komputerowego Thijs Brunink (Thijs Broenink) zwrócił uwagę na nijaki AnalyticsCore.apk programu, który stale pracuje tło. Głównym podejrzanym był fakt, że to narzędzie pojawił się znowu i znowu na smartfonie, nawet po dokładnym usunięciu.
W odpowiedzi na zapytanie o cel tego pliku firma Xiaomi postanowił pozbyć się tępym milczeniu. następnie Theis decompiled Kod i zobaczył, że program co 24 godziny wysłanym do danych identyfikacyjnych producenta serwera, w tym IMEI, model urządzenia, adres MAC, i wiele więcej. Ponadto, program sprawdza czy jest nowa wersja na serwerze, a w przypadku jej wykrycia automatycznie pobiera i instaluje je. Użytkownik, oczywiście, pozostaje całkowicie nieświadoma sekretnego życia urządzenia.
Najbardziej przykre jest to, że aplikacja AnalyticsCore.apk nie sprawdza autentyczność pobranego pliku. Oznacza to, że firmy Xiaomi ma możliwość instalowania jakiegokolwiek programu na urządzeniu pod AnalyticsCore.apk formie. Te same hakerów loophole można wykorzystywać do połączenia z serwera jest wykonywany przez Xiaomi niezabezpieczonego protokołu i mogą być łatwo przejęte.
O ile wiem, firma nie skomentował tych luk znalezionych. Jednak użytkownicy forum MIUI róży obecny burza.
Dlatego zawsze radzę używać zamiast MIUI jakiś czysty Android. Hail to AOSP, CyanogenMod i ich pochodnych!