😋 🛍️ 👉🏽 从理论上讲，小米可以通过专门左后门在智能手机上安装任何应用程序。 ✳️ 📟 🤺

小米可以在自己生产的任何智能手机上远程安装任何应用程序。一位荷兰计算机安全专业的学生提请注意奇怪的预装应用程序AnalyticsCore.apk，该程序可在24/7小米MI4智能手机上运行，从而揭示了这一点。

在官方技术支持论坛上忽略了AnalyticsCore.apk的起源问题之后，Tys Broenink 对应用程序进行了反向工程并发现它每24小时与公司的官方服务器交换数据。每次，应用程序发送有关IMEI设备，MAC地址，数字签名和其他信息的数据。如果服务器具有Analytics.apk形式的更新，它将在没有用户确认的情况下自动安装在智能手机上。

Taise认为，来自Xiaomi的特权应用程序会在后台忽略用户而独立启动安装。由此他得出结论，以Analytics.apk为幌子，小米可以放下任何软件包并将其强行安装在后台。

荷兰人找不到有关小米为何需要这样的后门的任何信息。主要问题是apk通过http协议与服务器通信，并且数据交换易受中间人攻击。

另一个问题是，即使删除了AnalyticsCore.apk，它也会在一段时间后出现在手机上，即用通常的方法不可能摆脱它。

直到某个时刻，小米团队顽固地忽略了官方公司技术支持论坛上对AnalyticsCore.apk的讨论，但仍对此主题发表了评论：

AnalyticsCore是MIUI系统的内置组件，MIUI使用它进行数据分析，以帮助公司开发人员改善其产品的UI。

同时，开发人员声称没有漏洞，因为Analytics.apk受数字签名保护，该签名始终在智能手机上安装应用程序更新之前进行验证。他们认为，这足以抵御入侵者。

正是出于数字签名验证的原因，不可能以AnalyticsCore为幌子安装任何apk。在MIUI 7.3的4月/ 5月更新中，我们增加了对HTTPS协议的支持，以提高用户安全级别并排除中间人攻击的可能性。

从理论上讲，小米可以通过专门左后门在智能手机上安装任何应用程序。

More articles: