👩🏿‍🤝‍👨🏾 👩🏼‍🏫 📓 Secara teoritis, Xiaomi dapat menginstal aplikasi apa pun di smartphone-nya melalui pintu belakang kiri khusus. 💂🏼 🏇 🚵🏻

Xiaomi dapat menginstal aplikasi apa pun dari jarak jauh di ponsel cerdas apa pun yang diproduksi sendiri. Ini terungkap setelah seorang siswa keamanan komputer Belanda menarik perhatian ke aplikasi AnalyticsCore.apk aneh yang diinstal sebelumnya, yang berjalan pada smartphone Xiaomi MI4 24/7.

Setelah pertanyaan tentang asal-usul AnalyticsCore.apk diabaikan di forum dukungan teknis resmi , Tys Broenink merekayasa balik aplikasi tersebutdan menemukan bahwa setiap 24 jam pertukaran data dengan server resmi perusahaan. Setiap kali, aplikasi mengirim data tentang perangkat IMEI, alamat MAC, tanda tangan digital, dan informasi lainnya. Jika server memiliki pembaruan dalam bentuk Analytics.apk, itu akan diinstal secara otomatis pada ponsel cerdas tanpa konfirmasi dari pengguna.

Taise percaya bahwa aplikasi istimewa dari Xiaomi ini secara mandiri meluncurkan instalasi di latar belakang tanpa menghiraukan pengguna. Dari ini, ia menyimpulkan bahwa dengan kedok Analytics.apk Xiaomi dapat menyelipkan paket apa pun dan menginstalnya secara paksa di latar belakang.

Pelatih asal Belanda itu tidak dapat menemukan informasi tentang mengapa Xiaomi membutuhkan pintu belakang seperti itu. Masalah utama adalah bahwa apk berkomunikasi dengan server melalui protokol http dan pertukaran data tunduk pada serangan Man-In-The-Middle.

Masalah lain adalah bahwa bahkan setelah penghapusan AnalyticsCore.apk, muncul di telepon setelah beberapa saat, yaitu dengan cara biasa tidak mungkin untuk menyingkirkannya.

Hingga titik tertentu, tim Xiaomi dengan keras kepala mengabaikan diskusi AnalyticsCore.apk di forum dukungan teknis resmi perusahaan, tetapi masih memberikan komentar tentang topik ini:

AnalyticsCore adalah komponen bawaan sistem MIUI dan digunakan oleh MIUI untuk analisis data untuk membantu pengembang perusahaan meningkatkan UI produk mereka.

Pada saat yang sama, pengembang mengklaim bahwa tidak ada kerentanan, karena Analytics.apk dilindungi oleh tanda tangan digital, yang selalu diverifikasi sebelum menginstal pembaruan aplikasi pada smartphone. Menurut mereka, ini adalah perlindungan yang cukup terhadap penyusup.

Tidak akan mungkin untuk menginstal APK apa pun dengan kedok AnalyticsCore justru karena verifikasi tanda tangan digital, dan pada pembaruan April / Mei dari MIUI versi 7.3 kami menambahkan dukungan untuk protokol HTTPS untuk meningkatkan tingkat keamanan pengguna dan menghilangkan kemungkinan serangan man-in-middle.

Perusahaan menahan diri untuk tidak mengomentari kemungkinan pemasangan paksa aplikasi apa pun oleh Xiaomi di perangkat pengguna.

Secara teoritis, Xiaomi dapat menginstal aplikasi apa pun di smartphone-nya melalui pintu belakang kiri khusus.

More articles: