В устройствах Xiaomi обнаружена критическая уязвимость
В устройствах Xiaomi обнаружена критическая уязвимость
Устройства компании Xiaomi пользуются огромной популярностью в Китае и за его пределами, что зачастую обусловлено более низкой стоимостью в сравнении с предложениями от других производителей. Студент нидерландского университета Тайс Броенинк решил проверить свой смартфон от Xiaomi (модель не сообщается) и обнаружил в системе уязвимость, позволяющую злоумышленнику незаметно установить любое приложение на девайс. Он решил подробно исследовать все предустановленные приложения и сервисы, чтобы узнать, что каждое из них делает. Самое интересное, что это далеко не первый случай, когда в устройствах Xiaomi обнаружена уязвимость или вредоносные приложения.
В марте 2015 года компания Bluebox, специализирующаяся на безопасности, обнаружила на Xiaomi Mi4 предустановленные вредоносные программы, которые были установлены на смартфон неопознанными личностями. В августе 2014 года специалисты компании F-Secure во время анализа Xiaomi Redmi 1S обнаружили, что аппарат отправлял на расположенный в Китае сервер большое количество пользовательских данных.
Возвращаясь к случаю Тайса Броенинка: он обнаружил на своём смартфоне приложение AnalyticsCore, которое работало 24 часа в сутки и которое невозможно удалить с устройства. Он обратился за помощью на форум поддержки Xiaomi, спросив об этом загадочном приложении, но ему ничего не ответили. Тогда Тайс изучил программный код и обнаружил, что это приложение каждые 24 часа проверяет наличие обновлений на серверах Xiaomi. Оно отправляет данные идентификации устройства, включая модель, IMEI, MAC-адрес, Nonce, имя пакета, а также подпись. Если оно находит на сервере компании новый APK-файл с названием "Analytics.apk", то скачивает и устанавливает их без ведома пользователя.
"Возникает вопрос, а действительно ли приложение проверяет подлинность APK? Если этого не происходит, то это означает, что Xiaomi может установить любое приложение на ваше устройство, которое она пожелает, просто назвав его Analytics.apk", - написал в своём блоге Тайс Броенинк.
Студент обнаружил, что процесс обновления на устройствах Xiaomi происходит без подтверждения правильности загружаемых файлов, а это значит, что злоумышленники могут перехватывать сигнал и отправлять на устройство заражённые приложения. Более того, сама компания Xiaomi может установить на любое своё устройство приложение, выдав его за Analytics.apk, а пользователь даже ничего не будет знать об этом.
"Не знаю, какой цели служит это приложение. Даже после удаления оно через какое-то время появляется снова", - написал один из пользователей на форуме Xiaomi.
Неясно, зачем Xiaomi оставила в своей системе "чёрный ход" для злоумышленников, которые с лёгкостью могут загружать на устройства пользователей заражённые приложения, называя их "Analytics.apk".
Источник