🏁 🍕 🌝 Teoricamente, a Xiaomi pode instalar qualquer aplicativo em seus smartphones através de um backdoor especialmente à esquerda. 🕒 🕴🏽 🤜🏻

A Xiaomi pode instalar remotamente qualquer aplicativo em qualquer smartphone de sua própria produção. Isso foi revelado depois que um estudante holandês de segurança de computadores chamou a atenção para o estranho aplicativo pré-instalado AnalyticsCore.apk, que roda no smartphone Xiaomi MI4 24/7.

Depois que a questão da origem do AnalyticsCore.apk foi ignorada no fórum oficial de suporte técnico, Tys Broenink fez a engenharia reversa do aplicativoe descobriu que a cada 24 horas troca dados com os servidores oficiais da empresa. Cada vez, o aplicativo enviava dados sobre o dispositivo IMEI, endereço MAC, assinaturas digitais e outras informações. Se o servidor tiver uma atualização na forma de Analytics.apk, ela será instalada automaticamente no smartphone sem nenhuma confirmação do usuário.

Taise acredita que este aplicativo privilegiado da Xiaomi inicia independentemente a instalação em segundo plano, ignorando o usuário. A partir disso, ele concluiu que, sob o disfarce de Analytics.apk, a Xiaomi pode escorregar qualquer pacote e instalá-lo à força em segundo plano.

O holandês não conseguiu encontrar nenhuma informação sobre por que a Xiaomi precisava de um backdoor. O principal problema é que o apk se comunica com o servidor via protocolo http e a troca de dados está sujeita a ataques Man-In-The-Middle.

Outro problema é que, mesmo após a remoção do AnalyticsCore.apk, ele aparece no telefone depois de um tempo, ou seja, por meios comuns, é impossível se livrar dele.

Até certo ponto, a equipe da Xiaomi ignorou teimosamente a discussão sobre o AnalyticsCore.apk no fórum oficial de suporte técnico da empresa, mas ainda forneceu comentários sobre este tópico:

O AnalyticsCore é um componente interno do sistema MIUI e é usado pelo MIUI para análise de dados para ajudar os desenvolvedores da empresa a melhorar a interface do usuário de seus produtos.

Ao mesmo tempo, os desenvolvedores afirmam que não há vulnerabilidade, pois o Analytics.apk é protegido por uma assinatura digital, que é sempre verificada antes da instalação da atualização do aplicativo no smartphone. Na opinião deles, isso é proteção suficiente contra invasores.

Não será possível instalar nenhum apk sob o disfarce do AnalyticsCore precisamente pelo motivo da verificação da assinatura digital, e nas atualizações de abril / maio da MIUI versão 7.3, adicionamos suporte ao protocolo HTTPS para aumentar o nível de segurança do usuário e excluir a possibilidade de um ataque man-in-middle.

A empresa se absteve de comentar sobre a possível instalação forçada de qualquer aplicativo da Xiaomi no dispositivo do usuário.

Teoricamente, a Xiaomi pode instalar qualquer aplicativo em seus smartphones através de um backdoor especialmente à esquerda.

More articles: