🌨️ 🎌 👰🏿 Teóricamente, Xiaomi puede instalar cualquier aplicación en sus teléfonos inteligentes a través de una puerta trasera especialmente izquierda. 🎼 🚵🏽 😴

Xiaomi puede instalar remotamente cualquier aplicación en cualquier teléfono inteligente de su propia producción. Esto se reveló después de que un estudiante holandés de seguridad informática llamara la atención sobre la extraña aplicación preinstalada AnalyticsCore.apk, que se ejecuta en el teléfono inteligente Xiaomi MI4 24/7.

Después de que la pregunta sobre el origen de AnalyticsCore.apk fuera ignorada en el foro oficial de soporte técnico, Tys Broenink realizó una ingeniería inversa de la aplicacióny descubrí que cada 24 horas intercambia datos con los servidores oficiales de la compañía. Cada vez, la aplicación envió datos sobre el dispositivo IMEI, la dirección MAC, las firmas digitales y otra información. Si el servidor tiene una actualización en forma de Analytics.apk, se instalará automáticamente en el teléfono inteligente sin ninguna confirmación por parte del usuario.

Taise cree que esta aplicación privilegiada de Xiaomi inicia de forma independiente la instalación en segundo plano ignorando al usuario. A partir de esto, concluyó que bajo la apariencia de Analytics.apk, Xiaomi puede deslizar cualquier paquete e instalarlo a la fuerza en segundo plano.

El holandés no pudo encontrar ninguna información sobre por qué Xiaomi necesitaba esa puerta trasera. El principal problema es que apk se comunica con el servidor a través del protocolo http y el intercambio de datos está sujeto a ataques Man-In-The-Middle.

Otro problema es que incluso después de eliminar AnalyticsCore.apk, aparece en el teléfono después de un tiempo, es decir. por medios ordinarios es imposible deshacerse de él.

Hasta cierto punto, el equipo de Xiaomi ignoró obstinadamente la discusión de AnalyticsCore.apk en el foro oficial de soporte técnico de la compañía, pero aún así proporcionó comentarios sobre este tema:

AnalyticsCore es un componente integrado del sistema MIUI y MIUI lo utiliza para el análisis de datos para ayudar a los desarrolladores de la compañía a mejorar la interfaz de usuario de sus productos.

Al mismo tiempo, los desarrolladores afirman que no hay vulnerabilidad, ya que Analytics.apk está protegido por una firma digital, que siempre se verifica antes de instalar la actualización de la aplicación en el teléfono inteligente. En su opinión, esto es suficiente protección contra intrusos.

No será posible instalar ningún apk bajo el disfraz de AnalyticsCore precisamente por el motivo de la verificación de firma digital, y en las actualizaciones de abril / mayo de MIUI versión 7.3 agregamos soporte para el protocolo HTTPS para aumentar el nivel de seguridad del usuario y excluir la posibilidad de un ataque de hombre en el medio.

La compañía se abstuvo de comentar sobre la posible instalación forzada de cualquier aplicación por parte de Xiaomi en el dispositivo del usuario.

Teóricamente, Xiaomi puede instalar cualquier aplicación en sus teléfonos inteligentes a través de una puerta trasera especialmente izquierda.

More articles: