Таинственную уязвимость телефонов Xiaomi нашел ученик из Нидерландов

Он узнал, что данная система каждые сутки проверяет наличие обновлений на серверах Xiaomi. Таким образом, Xiaomi (или злоумышленник) может устанавливать вредные программы на устройства определенных людей, зная IMEI их телефона.

Ученик Нидерландского университета Тайс Броенинк нашел в своем телефоне от Xiaomi уязвимость, которая дает возможность злоумышленникам незаметно установить на устройство любое приложение. Она работает на протяжении всего времени, пока смартфон не выключен. Программа AnalyticsCore работала сутками, а удалить ее из устройства оказалось невозможным. Так и не дождавшись ответа, он выполнил реверс-инжиниринг приложения. Каждый час она обменивается данными с официальными серверами компании. По утверждению исследователя, какие-то механизмы проверки APK отсутствуют, а значит, Xiaomi может удаленно и незаметно установить на устройство любое приложение, загрузив его на собственный сервер под именем AnalyticsCore.apk. Всякий раз приложение отправляло данные об IMEI устройства, MAC-адрес, цифровые подписи и иную информацию.

Каждый раз, когда на сервере появляется не менее обновленная версия Analytics.apk, происходит загрузка данного пакета в память телефона без какого-нибудь участия пользователя. Отыскать информацию о нем в глобальной сети и даже на официальном сайте производителя нереально, поэтому остается только догадываться, зачем Xiaomi устанавливает программу на свои устройства.

Злоумышленники также могут пользоваться этим бэкдором.

Проверки подлинность загружаемого файла Броенинк не нашел.

Так как AnalyticsCore получает обновления по незащищенному акту HTTP, злоумышленники могут выполнить атаку «человек посередине».

Ученик также обратил внимание на тот факт, что AnalyticsCore в своем запросе к серверу сообщает IMEI абонента.