Xiaomi okostelefonok lehet telepíteni a programot anélkül, hogy a tulajdonosok tudta
Android / / December 19, 2019
Xiaomi okostelefonok cég ismert nem csak kiváló ár-érték arány, hanem a márkás MIUI operációs rendszer. Azonban az utóbbi időben felfedezett egy súlyos biztonsági rést.
Abban az időben, MIUI indult, mint egy egyszerű add-on Android. Fokozatosan benőtt minden új programokat, beállításokat és funkciókat, így ma azt lehet mondani, hogy ez egy független operációs rendszer, bár van középpontban Android.
A számos „vállalati” szoftver elérhető MIUI, a számítógépes biztonsági kutatója Thijs Brunink (Thijs Broenink) hívta fel a figyelmet, hogy a jelentéktelen programot AnalyticsCore.apk, amely folyamatosan dolgozik háttérben. A fő gyanúsított volt az a tény, hogy ez a típus megjelent újra és újra a smartphone után is gondos eltávolítására.
Válaszul egy lekérdezést, mi a célja ennek a fájlnak Xiaomi cég úgy döntött, hogy megszabaduljon a tompa csend. Aztán Theis decompiled kódot, és látta, hogy a program minden 24 órában a szervernek küldött gyártó azonosító adatokat, beleértve az IMEI eszköz modell, MAC-címét, és még sok más. Ezen túlmenően a program ellenőrzi az új verzió a szerveren, és abban az esetben, annak észlelése automatikusan letölti és telepíti. A felhasználó természetesen továbbra is teljes tudatában a titkos élete a készüléken.
A legkellemetlenebb, hogy AnalyticsCore.apk alkalmazás nem hitelesíti a letöltött fájlt. Ez azt jelenti, hogy a vállalat Xiaomi képes bármilyen programot telepíthetünk a készülékre leple AnalyticsCore.apk. Ugyanez kiskaput hackerek használhatja, mely kapcsolatban áll a szerver végzi Xiaomi biztonságos protokoll, és könnyen sérülhet.
Amennyire én tudom, a cég nem kommentálta a sebezhetőséget talált. Azonban MIUI fórum felhasználók emelkedett jelen vihar.
Ezért mindig tanácsot használata helyett a MIUI néhány tiszta Android. Hail AOSP, CyanogenMod és származékaik!