Xiaomi может установить любое приложение на свои смартфоны через специально оставленный бэкдор

Xiaomi может удаленно установить на любой смартфон собственного производства любое приложение. Вскрылось это после того, как один нидерландец, обучающийся компьютерной безопасности, обратил внимание на странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне Xiaomi MI4 в режиме 24/7.
После того, как на официальном форуме технической поддержки вопрос о происхождении AnalyticsCore.apk был проигнорирован, Тайс Броенинк провел реверс-инжиниринг приложения и выяснил, что каждые 24 часа оно обменивается данными с официальными серверами компании. Каждый раз приложение отправляло данные об IMEI устройства, MAC-адрес, цифровые подписи и другую информацию. Если же на сервере присуствует обновление в виде Analytics.apk, оно будет автоматически устанавливаться на смартфон без какого-либо подтверждения со стороны пользователя.
Тайс считает, что данное привелигерованное приложение от Xiaomi самостоятельно запускает установку в фоновом режиме игнорируя пользователя. Из этого он сделал вывод, что под видом Analytics.apk Xiaomi может подсунуть любой пакет и установить его принудительно в фоновом режиме.
Нидерландец не смог найти никакой информации, зачем именно Xiaomi понадобился подобный бэкдор. Основная проблема заключается в том, что связь apk с сервером происходит по протоколу http и обмен данным подвержен Man-In-The-Middle-атакам.
Еще одна проблема заключается в том, что даже после удаления AnalyticsCore.apk он появляется на телефоне через некоторое время, т.е. рядовыми средствами избавиться от него невозможно.
#android #apple #iphone #samsung #смартфон