🐖 🙅🏾 👨🏽‍💻 Théoriquement, Xiaomi peut installer n'importe quelle application sur ses smartphones via une porte dérobée spécialement gauche. 📦 🏐 ♑️

Xiaomi peut installer à distance n'importe quelle application sur n'importe quel smartphone de sa propre production. Cela a été révélé après qu'un étudiant néerlandais en sécurité informatique a attiré l'attention sur l'étrange application préinstallée AnalyticsCore.apk, qui fonctionne sur le smartphone Xiaomi MI4 24/7.

Après que la question de l'origine de AnalyticsCore.apk a été ignorée sur le forum officiel de support technique, Tys Broenink a procédé à une ingénierie inverse de l'application.et a découvert que toutes les 24 heures, il échange des données avec les serveurs officiels de l'entreprise. À chaque fois, l'application a envoyé des données sur le périphérique IMEI, l'adresse MAC, les signatures numériques et d'autres informations. Si le serveur dispose d'une mise à jour sous forme d'Analytics.apk, elle sera automatiquement installée sur le smartphone sans aucune confirmation de l'utilisateur.

Taise estime que cette application privilégiée de Xiaomi lance indépendamment l'installation en arrière-plan en ignorant l'utilisateur. De cela, il a conclu que sous le couvert d'Analytics.apk, Xiaomi peut glisser n'importe quel paquet et l'installer de force en arrière-plan.

Le Néerlandais n'a pu trouver aucune information sur les raisons pour lesquelles Xiaomi avait besoin d'une telle porte dérobée. Le principal problème est que apk communique avec le serveur via le protocole http et l'échange de données est soumis à des attaques Man-In-The-Middle.

Un autre problème est que même après la suppression d'AnalyticsCore.apk, il apparaît sur le téléphone après un certain temps, c'est-à-dire par des moyens ordinaires, il est impossible de s'en débarrasser.

Jusqu'à un certain point, l'équipe Xiaomi a obstinément ignoré la discussion d'AnalyticsCore.apk sur le forum officiel de support technique de l'entreprise, mais a quand même fourni des commentaires sur ce sujet:

AnalyticsCore est un composant intégré du système MIUI et est utilisé par MIUI pour l'analyse des données afin d'aider les développeurs de l'entreprise à améliorer l'interface utilisateur de leurs produits.

Dans le même temps, les développeurs affirment qu'il n'y a pas de vulnérabilité, car Analytics.apk est protégé par une signature numérique, qui est toujours vérifiée avant d'installer la mise à jour de l'application sur le smartphone. À leur avis, c'est une protection suffisante contre les intrus.

Il ne sera pas possible d'installer un apk sous le couvert d'AnalyticsCore précisément pour la raison de la vérification de la signature numérique, et dans les mises à jour d'avril / mai de MIUI version 7.3, nous avons ajouté la prise en charge du protocole HTTPS pour augmenter le niveau de sécurité des utilisateurs et exclure la possibilité d'une attaque d'homme au milieu.

La société s'est abstenue de commenter l'installation éventuelle forcée de toute application par Xiaomi sur l'appareil de l'utilisateur.

Théoriquement, Xiaomi peut installer n'importe quelle application sur ses smartphones via une porte dérobée spécialement gauche.

More articles: