Xiaomi má zadní vrátka do smartphonů. Prý v zájmu uživatele

  • Smartphony Xiaomi denně sahají na server a hledají aplikaci Analytics.apk
  • Když najdou, okamžitě stahují a instalují
  • Xiaomi tvrdí, že je vše bezpečné a pro dobro uživatele

Nizozemec Thijs Broenink zkoumal MiUI (Android obsažený ve smartphonech Xiaomi) a narazil na aplikaci AnalyticsCore.apk. Je neustále aktivní, když ji zkusíte odstranit, objeví se znovu. Ptal se na fóru výrobce, co aplikace dělá, ale nedostal odpověď, a tak se pustil do bádání.

Pomocí zpětného inženýrství zjistil, že aplikace dělá jednoduchou věc. Jednou za den si sáhne na server firmy Xiaomi a hledá tam instalátor se jménem Analytics.apk. Pokud jej najde, stáhne jej a nainstaluje. Bez ověřování, bez vědomí uživatele.

Jinými slovy, Xiaomi má zadní vrátka do svých smartphonů a během 24 hodin je schopné nainstalovat do nich prakticky cokoliv. I kdybychom věřili, že je Xiaomi ztělesněný anděl s těmi nejčistšími úmysly a nechává si otevřená vrátka pouze pro řešení případných problémů, AnalyticsCore stále představuje bezpečnostní problém.

Staré hackerské pravidlo totiž říká, že neexistují zadní vrátka, kterých může využít pouze výrobce. Smartphony Xiaomi jsou tak vystavené útokům hackerů, kteří dovnitř mohou instalovat malware. A mají to o to jednodušší, že AnalyticsCore komunikuje přes nezabezpečený kanál http.

Reakce Xiaomi

Aféra kolem AnalyticsCore získala značnou pozornost médií a čekalo se na reakci Xiaomi. Ta přišla nečekaně rychle:

„AnalyticsCore je vestavěná součást systému MIUI, kterou jiné součásti používají k analýze dat a ke zlepšení uživatelské zkušenosti. Co se bezpečnosti týče, MIUI kontroluje podpis stahované aplikace, do systému se tak dostane pouze oficiální a výrobcem podepsané .apk. Počínaje verzí MIUI V7.3 aplikace komunikuje přes zabezpečený kanál HTTPS.“

Pokud Xiaomi nevěříte, stačí nainstalovat firewall a zakázat telefonu komunikaci s jeho mateřskou firmou.

Zdroj: ThijsBroenink.com via The Hacker News

Témata článku: Xiaomi, Mobilní aplikace, Android, Bezpečnost, MIUI, Malware

23 komentářů

Nejnovější komentáře

  • uni 20. 9. 2016 22:52:54
    Znám kluka, malá v bance (a ne zrovna "u přepážky") a užívá Xiaomi (BYOD)....
  • motmat 20. 9. 2016 10:46:54
    Dobrý článek a ještě přínosnější diskuze. dik Bezpečnost a pohodlí (žádné...
  • mikino123x 19. 9. 2016 13:58:40
    Tak neviem, ale toto by bol celkom slaby trojan, pokial ho je vidiet v...
Určitě si přečtěte

WhatsApp prý ohrožuje svobodu slova. Konverzaci si mohou prohlížet třetí strany

WhatsApp prý ohrožuje svobodu slova. Konverzaci si mohou prohlížet třetí strany

** WhatsApp čelí kritice za přístupnost zpráv pro třetí strany ** Přitom WhatsApp prohlašuje, že jsou data chráněná šifrováním ** Problém nastává, když je jedna ze stran bez internetu

Dnes | E15.cz , Tomeš Michal | 5

Xiaomi Mi Mix: keramický obr posouvá hranice [recenze]

Xiaomi Mi Mix: keramický obr posouvá hranice [recenze]

** Minimální rámečky displeje dělají skvělý první dojem ** Výbavou patří k tomu nejlepšímu na trhu ** Skvělý celek kazí vysoká cena a absence LTE na 800 MHz

Dnes | Miksa Martin | 14

Týden mobilně 368: Že je draho, už ví i premiér

Týden mobilně 368: Že je draho, už ví i premiér

** Drahé české telekomunikace jsou tématem i v nejvyšší politice ** Představíme vám Liquid Z6 Plus, první český Acer s kusem kovu ** Na Mobilní pavlači proklepneme to nejzajímavější z minulého týdne

Včera | Kůžel Filip, Láska Jan | 40

Garmin Forerunner 35 Optic: levné chytré hodinky, které vás důkladně proměří [recenze]

Garmin Forerunner 35 Optic: levné chytré hodinky, které vás důkladně proměří [recenze]

** Recenze cenově dostupných značkových hodinek s GPS ** Průběžně měří kroky, srdeční tep a upozorňují na notifikace z telefonu ** Jsou malé, lehké a mají dlouhou výdrž

17.  1.  2017 | Polesný David | 39