Xiaomi может удаленно устанавливать на устройства любые приложения без ведома пользователя.
Как известно, производители Android-устройств Xiaomi, HTC, Samsung и OnePlus используют не «чистую» версию операционной системы, а кастомизированную прошивку (например, CyanogenMod, Paranoid Android, MIUI и пр.) с предустановленными приложениями и темами. Теоретически, данные программы призваны повысить производительность смартфонов и добавить функциональность. Тем не менее, некоторые приложения по своему существу являются бэкдорами.
Студент из Нидерландов Тейс Брунинк (Thijs Broenink) решил узнать предназначение неизвестной программы AnalyticsCore.apk, предустановленной на его смартфоне Xiaomi Mi4. Приложение работает в фоновом режиме 24 часа в сутки 7 дней в неделю и восстанавливается после попыток его удалить.
Броенинк поинтересовался, какова функция AnalyticsCore, на форуме поддержки Xiaomi. Так и не дождавшись ответа, он осуществил реверс-инжиниринг приложения. Как оказалось, оно подключается к официальному серверу производителя и проверяет наличие доступных обновлений раз в 24 часа. При каждом подключении AnalyticsCore отправляет на сервер данные об устройстве, в том числе название модели, IMEI, MAC-адрес и Nonce.
При наличии на сервере обновленного приложения с именем файла Analytics.apk оно загружается и устанавливается на устройстве в фоновом режиме без какого-либо участия со стороны пользователя. «Я не обнаружил какие-либо доказательства в коде самого AnalyticsCore, но предполагаю, что приложение Xiaomi с повышенными привилегиями осуществляет процесс инсталляции в фоновом режиме», - отметил Бруннинк.
Возникает вопрос, проверяет ли смартфон подлинность APK, и каким образом определяет, что загруженное приложение – действительно AnalyticsCore? По словам исследователя, какие-либо механизмы проверки APK отсутствуют, а значит, Xiaomi может удаленно и незаметно установить на устройство любое приложение, загрузив его на свой сервер под именем AnalyticsCore.apk.
Узнать предназначение программы Бруннинку так и не удалось. Найти информацию о нем в Сети и даже на официальном сайте производителя невозможно, поэтому остается только догадываться, зачем Xiaomi устанавливает программу на свои устройства. Помимо самой компании, воспользоваться бэкдором могут правительственные спецслужбы или киберпреступники.
Поскольку AnalyticsCore получает обновления по незащищенному протоколу HTTP, злоумышленники могут осуществить атаку «человек посередине. «Лично я считаю, что это уязвимость, ведь [производителю] известны IMEI и модель вашего телефона, и они могут установить любой APK конкретно на данное устройство», - подчеркнул исследователь.
Владельцы смартфонов Xiaomi могут обезопасить себя, заблокировав с помощью межсетевого экрана подключение к какому-либо связанному с компанией домену.
Одно найти легче, чем другое. Спойлер: это не темная материя