В этот один речь пойдет не о взрывающемся Note 7. Ныне мы рассмотрим сложившуюся ситуацию, связанную с Xiaomi, которая, по мнению студента и одновр/еменно исследователя из Нидерландов, может стать серьезной проблемой в вопросе безопасности и защиты данных.
Тийс Броенинк является владельцем смартфона Xiaomi Mi4, изучив его, он заметил одно странное приложение AnalyticsCore (com.miui.analytics), которое работало в фоновом режиме. После чего Тийс начал учить активность приложения, которая его, мягко скажем, удивила.
Для тестирования он скачал dex2jar и Java Decompiler, в котором запустил AnalyticsCore.apk. Первым делом Тийс решил поискать информацию о приложении на официальном форуме Xiaomi, где нашел лишь одну тему, которая осталась без ответа представителей компании. Другими словами, на просторах Интернета Броенинку не удалось найти предназначения приложения.
В Java Decompiler ему удалось найти 3 основных класса, связанные с обновлением AnalyticsCore: c.class, e.class и f.class. В f.class осуществляется проверка обновления каждые 24 часа без ведома пользователя. Производится запрос по следующему адресу: http://sdkconfig.ad.xiaomi.com/api/checkupdate/lastusefulversion?. Класс отправляет на сервера Xiaomi информацию о смартфоне: IMEI, MAC-адрес, модель, Nonce и этак далее.
После того будто сервер получит необходимую информацию, смартфон может получить обновленный apk-файл. В классе e.class прописан код скачивания файла. Пункт, куда скачивается файл, описывается в классе f.class. Проблема лишь в том, что производит непосредственную установку файла? В коде AnalyticsCore никаких данных найдено не было, потому Броенинк предположил, что выговор идет скорее о приложении Xiaomi с более высоким приоритетом, которое производит непосредственную установку файла.
В связи с этим возникают новые вопросы. Проверяет ли приложение скачиваемый файл? Если дудки, получается, что Xiaomi может без вашего ведома ввести любое приложение на ваш смартфон под видом AnalyticsCore.apk. При этом Xiaomi способна контролировать даже точечную установку на конкретное конструкция благодаря наличию всех сведений, включая IMEI вашего устройства.
В действительности же, позже ему подсказали, что установка производится в классе i.class, однако в нем дудки никакого опровержения тому, что было сказано выше. Потому с полной уверенностью можно ратифицировать о том, что речь идет об уязвимости, ведь подобный возможностью могут воспользоваться недоброжелатели.
Однако у всех пользователей Xiaomi имеется возможность блокировать мена данными с серверами Xiaomi. В AdAway следует прописать следующее (требуется присутствие root-прав):
- # This hosts file contains exported entries from AdAway.
- 127.0.0.1 micloud.xiaomi.net
- 127.0.0.1 xiaomi.net
- 127.0.0.1 account.xiaomi.com
- 127.0.0.1 pdc.micloud.xiaomi.net
- 127.0.0.1 wifiapi.micloud.xiaomi.net
- 127.0.0.1 xiaomi.com
- 127.0.0.1 contactapi.micloud.xiaomi.net
Кушать ли среди наших читателей владельцы смартфонов китайского гиганта? Будто вы относитесь к данному открытию обычного студента из Нидерландов?
По материалам thijsbroenink
AndroidInsider.ru