HomeMobileAndroidXiaomi poate instala orice aplicatie pe smartphone, folosind un backdoor

Xiaomi poate instala orice aplicatie pe smartphone, folosind un backdoor

xiaomi_install

Pe internet veți găsi foarte mulți specialiști pregătiți să vă recomande orice chinezărie pe care merită să dați cinci firfirei în speranța că veți obține nu știu ce smartphone excepțional, în loc să plătiți sume considerabile unor brand-uri renumite. Activitatea ar fi bună, chiar utilă, dacă respectivii v-ar spune și că în schimbul unor bani mai puțini primiți aparate fără garanție, slabe din punct de vedere calitate, cu performanțe mult sub cele ale unor flagship-uri semnate de branduri mari și de cele mai multe ori cu malware preinstalat sau măcar cu aplicații de tip spyware prezente în mod standard.

Situația este foarte evidentă în lumea Android, unde tot chinezu face clone de iPhone, Samsung și se mai și laudă cu flagship-uri proprii, gata să bată liderii în domeniu. Și bineînțeles, la prețuri insignifiante, că ei ”nu vor profit” și ”pot produce” aceiași calitate la costuri mult mai mici.

Pentru toți cei ce sunt în posesia unor astfel de chinezării sau se gândesc să își ia una, am tot tras semnale de alarmă aici , aici și aici. Astăzi vin cu încă ceva: Xiaomi poate să instaleze oricând dorește, orice aplicație pe smartphone-urile proprii.

Pornind investigația pe pachetul AnalyticsCore.apk din interfața MIUI de pe Xiaomi, un student din Olanda (Thijs Broenink) a descoperit că aplicația nărăvașă stă pornită permanent și mai mult, reapare ca din senin și dacă este ștearsă. Vizavi de Xiaomi au mai fost voci care au spus că vine cu malware preinstalat, exact modelul Mi4 .

Trecând la analiza codului din AnalyticsCore.apk, Thijs Broenink a aflat că aplicația verifică zilnic server-ele Xiaomi pentru informații noi și trimite constant informații de identificare pentru aparat: IMEI, modelul, adresa MAC plus altele de care chinezii sunt interesați ca să facă bani.

Dacă pe server există un pachet Analytics.apk, el va fi descărcat automat și instalat pe smartphone, fără verificarea proveninței sau a validității – Xiaomi a răspuns la această acuzație spunând că se face o verificare a semnăturii și fără să fie un pachet valid, nu se instalează. În plus, conexiunea este una nesecurizată, ușor de exploatat.

Deci dacă cineva reușește să redirecționeze traficul către un server terț, unde este pus un pachet infectat, el ajunge instant pe smartphone și poate instala malware. Deja acțiuni de deturnare a traficului pe server-e nelegitime din China s-a întâmplat o dată în cazul malware-ului din Apple Store, ceea ce ne spune că răufăcătorii știu ce să facă dacă văd oportunitatea. Sau mai rău, orice pachet APK Android ce primește acest nume, va putea fi descărcat și instalat pe smartphone fără ca măcar utilizatorul să știe asta – pentru că nu i se cere permisiunea când se face instalarea propriuzisă.

Dacă vreți să aflați mai multe detalii,o puteți face consultând blog-ului lui Broenink.

Dacă totuși aveți sau vreți vreun astfel de smartphone, ce puteți face?

Xiaomi pare să facă hardware bunicel și dacă vă doriți neapărat unul atunci recomandarea mea este să scăpați cât mai repede de varianta de Android cu interfața MIUI și să puneți un ROM terț, în speță CyanogenMod. Iar dacă asta vi se pare prea complicat, atunci măcar blocați cumva (din firewall-ul telefonului) server-ele Xiaomi și în felul acesta nu se vor mai schimba informații.

E valabil pentru oricare alt chinezism de care v-ați îndrăgostit!

Ionuţ Bălan
Ionuţ Bălanhttps://www.mobzine.ro
Gadget enthusiast. Ruby Developer. Security addict. IT industry analyst. Reviewer & speaker.

2 COMENTARII

  1. Am un telefon Huawei 8 plus, cumparat din China. A fost setat pe lb romana de la magazin si nu reusesc acum sa instalez whatsapp. Ce ar trebui sa fac sa beneficiez de aceasta aplicatie?

LASA UN COMENTARIU

Scrie comantariul
Introdu numele

*

MobileDirect.ro

Comentarii recente

Recomandare

Bigstep