«Китайская Apple» устанавливает на свои смартфоны Xiaomi загадочный бэкдор


В смартфонах Xiaomi обнаружен бэкдор, позволяющий производителю устанавливать на устройство произвольное приложение. Более того, злоумышленники могут легко перехватить связь с сервером, так как соединение осуществляется в незашифрованном виде.

Студент из НидерландовТийс Броенинк (Thijs Broenink), увлекающийся компьютерной безопасностью, обнаружил бэкдор в смартфоне Xiaomi Mi4. Как он рассказал в своем блоге, его заинтересовало приложение AnalyticsCore, запущенное на его смартфоне в фоновом режиме (имя процесса com.miui.analytics. Бэкдором называется скрытая возможность получения доступа к устройству (тайный ход).

Броенинк задал вопрос о назначении программы на официальном интернет-форуме Xiaomi, но не получит ответа. После чего решил провести обратный инжиниринг — то есть получить исходный код скомпилированной программы.

Как выяснилось, AnalyticsCore раз в сутки обращается к удаленному серверу, принадлежащему компании Xiaomi. Таким образом он проверяет наличие обновлений программного обеспечения. Исследователь также узнал, что приложение обладает возможностью устанавливать пакеты APK в память устройства.

Каждый раз, когда на сервере появляется более новая версия Analytics.apk, происходит загрузка этого пакета в память смартфона без какого-либо участия пользователя. «Я не нашел каких-либо доказательства в коде AnalyticsCore, но полагаю, что приложение Xiaomi с повышенными привилегиями осуществляет процесс инсталляции в фоновом режиме», — отметил исследователь.

Студент не нашел ответа на вопрос, проверяет ли смартфон подлинность загружаемого APK-файла, то есть что это именно Analytics.apk. Это означает, что Xiaomi может загрузить на смартфон любое приложение под этим именем. 

Более того, AnalyticsCore осуществляет связь с сервером по незашифрованному HTTP-соединению, что облегчает злоумышленникам проведение атаки типа «человек посередине», то есть перехват трафика. 

Студент также обратил внимание на тот факт, что AnalyticsCore в своем запросе к серверу передает IMEI абонента. IMEI (международный идентификатор мобильного оборудования) — уникальный идентификатор для каждого абонентского устройства. Таким образом, Xiaomi (или злоумышленник) может устанавливать вредоносные программы на устройства конкретных людей, зная IMEI их смартфона.  

Броенинк не стал сообщать компании Xiaomi о том, что нашел уязвимость, хотя свою находку он охарактеризовал именно этим словом. Производитель не давал официальных комментариев по этому поводу. 

Владельцы смартфонов Xiaomi могут защитить себя, заблокировав сетевое подключение к какому-либо связанному с компанией домену с помощью межсетевого экрана на устройстве, добавил автор.

Источник: CNews

Оставьте отзыв

Ваш емейл адрес не будет опубликован. Обязательные поля отмечены *