Xiaomi

Нідерландський користувач Тайс Броенинк виявив на своєму смартфоні Xiaomi MI4 додаток AnalyticsCore.апк, яке працює в режимі 24/7. Після того, як інформацію про нього проігнорували на сайті офіційною техпідтримки, він спробував розібратися, що це за програма. В результаті реверс-інжинірингу з’ясувалося, що додаток кожні 24 години воно обмінюється даними з офіційними серверами компанії, передаючи дані про IMEI пристрою, MAC-адресу, цифрові підписи та іншу інформацію. Цікаво, що якщо на сервері є ління у вигляді Analytics.апк, воно буде автоматично встановлюватися на смартфон без підтвердження від користувача.

Xiaomi

Броенинк заявив, що такий підхід дозволяє Xiaomi встановити будь-який додаток у фоновому режимі і непомітно для кінцевого користувача. При цьому зв’язок йде по протоколу http (https), а значить обмін схильний Man-In-The-Middle-атак, простіше кажучи – перехоплення. Найцікавіше тут, що навіть після видалення програми, додаток самостійно підвантажується з мережі.

Компанія деякий час ігнорувала повідомлення про це, але потім все ж видала офіційний коментар:

AnalyticsCore є вбудованим компонентом MIUI-системи і використовується MIUI для аналізу даних, щоб допомогти розробникам компанії поліпшити UI продуктів

При цьому стверджується, що шкідливий apk так не встановити.

Будь apk під виглядом AnalyticsCore встановити не вдасться саме з причин звірки цифрового підпису, а в оновленнях за квітень/травень з версії MIUI 7.3 ми додали підтримку протоколу HTTPS для підвищення рівня безпеки користувачів і виключення можливості проведення man-in-middle-атаки

Від коментарів на тему можливої примусової установки будь-якого застосування з боку Xiaomi на пристрій користувача компанія утрималася.

Нагадаємо, що раніше подібний скандал мав місце з-за дій компанії Lenovo.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту і натисніть Ctrl + Enter .