В устройствах Xiaomi обнаружена критическая уязвимость.

Студент Тайс Броенинк обнаружил на своём смартфоне приложение AnalyticsCore, которое работало 24 часа в сутки и которое невозможно удалить с устройства. Он обратился за помощью на форум поддержки Xiaomi, спросив об этом загадочном приложении, но ему ничего не ответили. Тогда Тайс изучил программный код и обнаружил, что это приложение каждые 24 часа проверяет наличие обновлений на серверах Xiaomi. Оно отправляет данные идентификации устройства, включая модель, IMEI, MAC-адрес, Nonce, имя пакета, а также подпись. Если оно находит на сервере компании новый APK-файл с названием "Analytics.apk", то скачивает и устанавливает их без ведома пользователя.
"Возникает вопрос, а действительно ли приложение проверяет подлинность APK? Если этого не происходит, то это означает, что Xiaomi может установить любое приложение на ваше устройство, которое она пожелает, просто назвав его Analytics.apk", - написал в своём блоге Тайс Броенинк.
Студент обнаружил, что процесс обновления на устройствах Xiaomi происходит без подтверждения правильности загружаемых файлов, а это значит, что злоумышленники могут перехватывать сигнал и отправлять на устройство заражённые приложения. Более того, сама компания Xiaomi может установить на любое своё устройство приложение, выдав его за Analytics.apk, а пользователь даже ничего не будет знать об этом.
"Не знаю, какой цели служит это приложение. Даже после удаления оно через какое-то время появляется снова", - написал один из пользователей на форуме Xiaomi.