Xiaomi išmanieji telefonai gali būti įdiegta į bet kurią programą be savininko žinios

Xiaomi išmaniųjų telefonų kompanija žinoma ne tik didelę vertę už pinigus, bet taip pat firminių MIUI operacinę sistemą. Tačiau pastaruoju metu atrado rimtą pažeidžiamumą.

Tuo metu, MIUI prasidėjo kaip paprastas add-on "Android". Ji palaipsniui apaugę visų naujų programų, nustatymų ir funkcijų, kad šiandien galima teigti, kad ji yra nepriklausoma operacinė sistema, nors ji turi savo branduolį Android.

Tarp daugybės "Corporate" programine įranga MIUI, kompiuterio saugumo tyrėjas Thijs Brunink (Thijs Broenink) atkreipė dėmesį į niekuo neišsiskiriantys programos AnalyticsCore.apk, kuri yra nuolat dirba fonas. Pagrindinis įtariamasis buvo tai, kad ši programa vėl ir vėl pasirodė savo išmaniajame telefone net po kruopštaus pašalinimas.

Atsakydama į užklausą apie šį failą tikslu Xiaomi bendrovė nusprendė atsikratyti nuobodu tyloje. tada Theis dekompiliuojami kodas ir pamatė, kad programos kas 24 valandas siunčiami į serverį gamintojo identifikavimo duomenis, įskaitant IMEI, įrenginio modelis, MAC adresą, ir daug daugiau. Be to, programa patikrina ar yra nauja versija serveryje ir tuo atveju, jos aptikimo automatiškai atsisiunčia ir įdiegia ją. Vartotojas, žinoma, lieka visiškai nežino apie slaptą gyvenimą jūsų prietaise.

Labiausiai nemalonus yra tai, kad AnalyticsCore.apk taikymas nėra patikrinti atsisiųstą failą autentiškumą. Tai reiškia, kad įmonės "Xiaomi turi galimybę įdiegti bet kokią programą savo prietaise pagal prisidengiant AnalyticsCore.apk. Tie patys spraga įsilaužėliai gali naudoti, prijungimui prie serverio yra vykdomas Xiaomi nesaugus protokolo ir gali būti lengvai pažeista.

Taigi, kiek aš žinau, bendrovė nepateikė jokių pastabų dėl pažeidžiamumą nerasta. Tačiau, MIUI forumo vartotojai pakilo metu audra.

Štai kodėl aš visada patariu naudoti vietoj MIUI kai grynas "Android". Hail AOSP, CyanogenMod ir jų darinių!