Xiaomi пояснила предназначение бэкдора на своих смартфонах

Xiaomi пояснила предназначение бэкдора на своих смартфонах

От комментариев относительно возможности принудительной установки любого приложения со стороны компании в Xiaomi отказались.

Китайская компания Xiaomi опубликовала официальный комментарий относительно таинственного бэкдора, обнаруженного на смартфоне Xiaomi Mi4. Речь идет о постоянно работающем в фоновом режиме приложении AnalyticsCore.apk, которое восстанавливается после попыток его удалить. При каждом подключении к официальному серверу производителя программа передает информацию об устройстве, включая название модели, IMEI, MAC-адрес и Nonce.   

По мнению обнаружившего проблему нидерландского студента Тийса Броенинка (Thijs Broenink), под видом файла Analytics.apk Xiaomi может принудительно установить на устройстве и запустить в фоновом режиме любое приложение.

Присутствие AnalyticsCore.apk было замечено еще в ноябре прошлого года, однако компания упорно игнорировала обсуждение вопроса на техническом форуме. После сообщения Броенинка Xiaomi все же предоставила официальный комментарий изданию The Hacker News.

Как пояснили в компании, AnalyticsCore является встроенным компонентом MIUI-системы и используется MIUI для анализа данных и передачи их разработчикам с целью улучшения оболочки и пользовательских впечатлений в целом. Xiaomi признала, что обновления действительно устанавливаются, но только в том случае, если они имеют официальную цифровую подпись.

«Любой apk под видом AnalyticsCore не удастся установить именно по причине сверки цифровой подписи. В версии MIUI 7.3, выпущенной в апреле/мае, появилась поддержка протокола HTTPS для обеспечения безопасной передачи данных и исключения возможности проведения атаки "человек посередине"», - подчеркнул представитель Xiaomi.

От комментариев относительно возможности принудительной установки любого приложения со стороны компании в Xiaomi отказались.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену