Xiaomi má zadní vrátka do smartphonů. Prý v zájmu uživatele

  • Smartphony Xiaomi denně sahají na server a hledají aplikaci Analytics.apk
  • Když najdou, okamžitě stahují a instalují
  • Xiaomi tvrdí, že je vše bezpečné a pro dobro uživatele
Xiaomi má zadní vrátka do smartphonů. Prý v zájmu uživatele

Nizozemec Thijs Broenink zkoumal MiUI (Android obsažený ve smartphonech Xiaomi) a narazil na aplikaci AnalyticsCore.apk. Je neustále aktivní, když ji zkusíte odstranit, objeví se znovu. Ptal se na fóru výrobce, co aplikace dělá, ale nedostal odpověď, a tak se pustil do bádání.

Pomocí zpětného inženýrství zjistil, že aplikace dělá jednoduchou věc. Jednou za den si sáhne na server firmy Xiaomi a hledá tam instalátor se jménem Analytics.apk. Pokud jej najde, stáhne jej a nainstaluje. Bez ověřování, bez vědomí uživatele.

Jinými slovy, Xiaomi má zadní vrátka do svých smartphonů a během 24 hodin je schopné nainstalovat do nich prakticky cokoliv. I kdybychom věřili, že je Xiaomi ztělesněný anděl s těmi nejčistšími úmysly a nechává si otevřená vrátka pouze pro řešení případných problémů, AnalyticsCore stále představuje bezpečnostní problém.

Staré hackerské pravidlo totiž říká, že neexistují zadní vrátka, kterých může využít pouze výrobce. Smartphony Xiaomi jsou tak vystavené útokům hackerů, kteří dovnitř mohou instalovat malware. A mají to o to jednodušší, že AnalyticsCore komunikuje přes nezabezpečený kanál http.

Reakce Xiaomi

Aféra kolem AnalyticsCore získala značnou pozornost médií a čekalo se na reakci Xiaomi. Ta přišla nečekaně rychle:

„AnalyticsCore je vestavěná součást systému MIUI, kterou jiné součásti používají k analýze dat a ke zlepšení uživatelské zkušenosti. Co se bezpečnosti týče, MIUI kontroluje podpis stahované aplikace, do systému se tak dostane pouze oficiální a výrobcem podepsané .apk. Počínaje verzí MIUI V7.3 aplikace komunikuje přes zabezpečený kanál HTTPS.“

Pokud Xiaomi nevěříte, stačí nainstalovat firewall a zakázat telefonu komunikaci s jeho mateřskou firmou.

Zdroj: ThijsBroenink.com via The Hacker News

Diskuze (23) Další článek: Pokémon Go Plus je již v prodeji. Funguje však jen s poslední aktualizací hry

Témata článku: Xiaomi, Android, Mobilní aplikace, Bezpečnost, MIUI, Malware, Aféra, Xiaomi, Bezpečnostní problém, Případný problém, Zadní vrátka, Vrátka, #Xiaomi


Určitě si přečtěte

RECENZE: Sony Xperia XA2 — z ošklivého káčátka bujarou modelkou

RECENZE: Sony Xperia XA2 — z ošklivého káčátka bujarou modelkou

** Xperia XA2 již nevypadá jako omyl japonského designéra ** Vylepšení přišla snad ve všech směrech a jsou to vylepšení znatelná ** Tenhle kousek se prostě povedl již od prvního pohledu **

Jakub Vrbacký | 24

RECENZE: Samsung Galaxy J6 je základ pro nenáročné. Vyčnívá jen AMOLED

RECENZE: Samsung Galaxy J6 je základ pro nenáročné. Vyčnívá jen AMOLED

** Otestovali jsme nový model spadající do nejnižší řady Galaxy J ** Část funkcí si bere od Galaxy A6, kovové tělo však nahradil kvalitní plast ** I tak se ale novinka prodává za 6 500 Kč. Není to trochu moc?

Martin Chroust | 22

RECENZE: Xiaomi Mi A2 — průbojnější pokračovatel rodu

RECENZE: Xiaomi Mi A2 — průbojnější pokračovatel rodu

** Displej 18 : 9 jde udělat bez výřezu, hurá! ** Zapomeňte na paměťovou kartu a jack ** Čistý Android One je hodně svižný

Ondrej Papánek | 49

RECENZE: Huawei Nova 3 — vysvitla cenově dostupná hvězda

RECENZE: Huawei Nova 3 — vysvitla cenově dostupná hvězda

** Nova 3 je smartphone pro mladé a náročnější uživatele ** Obsahuje špičkovou výbavu, nešetřilo se skoro nikde ** Potěší hlavně baterie s dobrou výdrží a 3,5mm jack

Jan Láska | 22

RECENZE: Huawei P20 Lite — odlehčená verze letošní špičky láká vzhledem i cenou

RECENZE: Huawei P20 Lite — odlehčená verze letošní špičky láká vzhledem i cenou

** Osvědčený recept Huawei v trochu modernějším střihu ** Výřez v displeji neruší ani zdaleka, jak by se mohlo zdát ** Odemykání obličejem je návykové a překvapivě dobře funguje

Martin Herodek | 34