👩‍💻 🛀 🌚 Theoretisch kann Xiaomi jede Anwendung über eine speziell linke Hintertür auf seinem Smartphone installieren. 👩‍🎤 🍋 😑

Xiaomi kann jede Anwendung remote auf jedem Smartphone seiner eigenen Produktion installieren. Dies wurde bekannt, nachdem ein niederländischer Student für Computersicherheit auf die seltsame vorinstallierte Anwendung AnalyticsCore.apk aufmerksam gemacht hatte, die rund um die Uhr auf dem Xiaomi MI4-Smartphone ausgeführt wird.

Nachdem die Frage nach der Herkunft von AnalyticsCore.apk im offiziellen Forum für technischen Support ignoriert wurde, hat Tys Broenink die Anwendung rückentwickeltund fand heraus, dass alle 24 Stunden Daten mit den offiziellen Servern des Unternehmens ausgetauscht werden. Jedes Mal sendete die Anwendung Daten über das IMEI-Gerät, die MAC-Adresse, digitale Signaturen und andere Informationen. Wenn der Server über ein Update in Form von Analytics.apk verfügt, wird es ohne Bestätigung des Benutzers automatisch auf dem Smartphone installiert.

Taise glaubt, dass diese privilegierte Anwendung von Xiaomi die Installation unabhängig im Hintergrund startet und den Benutzer ignoriert. Daraus schloss er, dass Xiaomi unter dem Deckmantel von Analytics.apk jedes Paket verschieben und gewaltsam im Hintergrund installieren kann.

Der Niederländer konnte keine Informationen darüber finden, warum Xiaomi eine solche Hintertür brauchte. Das Hauptproblem ist, dass apk über das http-Protokoll mit dem Server kommuniziert und der Datenaustausch Man-In-The-Middle-Angriffen ausgesetzt ist.

Ein weiteres Problem besteht darin, dass es auch nach dem Entfernen von AnalyticsCore.apk nach einer Weile auf dem Telefon angezeigt wird, d. H. mit gewöhnlichen Mitteln ist es unmöglich, es loszuwerden.

Bis zu einem gewissen Punkt ignorierte das Xiaomi-Team die Diskussion über AnalyticsCore.apk im offiziellen Forum für technischen Support des Unternehmens hartnäckig, gab jedoch Kommentare zu diesem Thema ab:

AnalyticsCore ist eine integrierte Komponente des MIUI-Systems und wird von MIUI für die Datenanalyse verwendet, um Unternehmensentwicklern dabei zu helfen, die Benutzeroberfläche ihrer Produkte zu verbessern.

Gleichzeitig behaupten die Entwickler, dass keine Sicherheitslücke besteht, da Analytics.apk durch eine digitale Signatur geschützt ist, die vor der Installation des Anwendungsupdates auf dem Smartphone immer überprüft wird. Dies ist ihrer Meinung nach ein ausreichender Schutz gegen Eindringlinge.

Es ist nicht möglich, apk unter dem Deckmantel von AnalyticsCore genau aus Gründen der Überprüfung der digitalen Signatur zu installieren. In den April / Mai-Updates von MIUI Version 7.3 haben wir Unterstützung für das HTTPS-Protokoll hinzugefügt, um die Sicherheit der Benutzer zu erhöhen und die Möglichkeit eines Man-in-Middle-Angriffs auszuschließen.

Das Unternehmen verzichtete darauf, die mögliche erzwungene Installation einer Anwendung durch Xiaomi auf dem Gerät des Benutzers zu kommentieren.

Theoretisch kann Xiaomi jede Anwendung über eine speziell linke Hintertür auf seinem Smartphone installieren.

More articles: