👍🏻 😿 🕴🏼 من الناحية النظرية ، يمكن لـ Xiaomi تثبيت أي تطبيق على هواتفه الذكية من خلال باب خلفي يسار بشكل خاص. 👨‍🎤 💯 🚦

يمكن لـ Xiaomi تثبيت أي تطبيق عن بعد على أي هاتف ذكي من إنتاجه الخاص. تم الكشف عن هذا بعد أن لفت طالب أمن الكمبيوتر الهولندي الانتباه إلى التطبيق الغريب المثبت مسبقًا AnalyticsCore.apk ، والذي يعمل على الهاتف الذكي Xiaomi MI4 24/7.

بعد تجاهل مسألة أصل AnalyticsCore.apk في منتدى الدعم الفني الرسمي ، قام Tys Broenink بتصميم هندسي عكسي للتطبيقووجدت أنها تتبادل البيانات كل 24 ساعة مع الخوادم الرسمية للشركة. في كل مرة ، أرسل التطبيق بيانات حول جهاز IMEI وعنوان MAC والتوقيعات الرقمية وغيرها من المعلومات. إذا كان الخادم يحتوي على تحديث في شكل Analytics.apk ، فسيتم تثبيته تلقائيًا على الهاتف الذكي دون أي تأكيد من المستخدم.

يعتقد Taise أن هذا التطبيق المميز من Xiaomi يقوم بتشغيل التثبيت في الخلفية بشكل مستقل مع تجاهل المستخدم. من هذا ، استنتج أنه تحت ستار Analytics.apk يمكن لـ Xiaomi أن تنزلق أي حزمة وتثبيتها بالقوة في الخلفية.

لم يتمكن الهولندي من العثور على أي معلومات حول سبب حاجة Xiaomi لمثل هذا الباب الخلفي. المشكلة الرئيسية هي أن APK يتواصل مع الخادم عبر بروتوكول http وتبادل البيانات عرضة لهجمات Man-In-The-Middle.

مشكلة أخرى هي أنه حتى بعد إزالة AnalyticsCore.apk ، يظهر على الهاتف بعد فترة ، أي بالوسائل العادية من المستحيل التخلص منه.

حتى نقطة معينة ، تجاهل فريق Xiaomi بعناد مناقشة AnalyticsCore.apk في منتدى الدعم الفني الرسمي للشركة ، ولكن لا يزال يقدم تعليقات حول هذا الموضوع:

AnalyticsCore هو مكون مضمن في نظام MIUI ويستخدمه MIUI لتحليل البيانات لمساعدة مطوري الشركات على تحسين واجهة المستخدم لمنتجاتهم.

في الوقت نفسه ، يدعي المطورون أنه لا توجد ثغرات ، لأن Analytics.apk محمي بواسطة توقيع رقمي ، والذي يتم التحقق منه دائمًا قبل تثبيت تحديث التطبيق على الهاتف الذكي. في رأيهم ، هذه حماية كافية ضد المتسللين.

لن يكون من الممكن تثبيت أي apk تحت ستار AnalyticsCore على وجه التحديد لسبب التحقق من التوقيع الرقمي ، وفي تحديثات أبريل / مايو من MIUI الإصدار 7.3 أضفنا دعمًا لبروتوكول HTTPS لزيادة مستوى أمان المستخدم واستبعاد إمكانية هجوم رجل في الوسط.

امتنعت الشركة عن التعليق على التثبيت القسري المحتمل لأي تطبيق من قبل Xiaomi على جهاز المستخدم.

من الناحية النظرية ، يمكن لـ Xiaomi تثبيت أي تطبيق على هواتفه الذكية من خلال باب خلفي يسار بشكل خاص.

More articles: