На смартфонах Xiaomi найдена таинственная уязвимость

Интересную находку нашел нидерландец, который занимается компьютерной безопасностью, в своем смартфоне Xiaomi MI4. Его заинтересовало приложение AnalyticsCore.apk, которое сразу установлено в телефоне и работает круглосуточно. Как оказалось, благодаря этому приложению специалисты Xiaomi могут установить на смартфон любое приложение удаленным способом.



Тайс Броенинк задал вопрос об этом приложении на официальном сайте компании, но его запрос был проигнорирован. Проведя исследование, он выяснил, что приложение обменивается с серверами Xiaomi и передает на них массу информации об устройстве. При этом, если сервер сообщает о новой версии приложения Analytics.apk, то оно будет установлено без ведома владельца смартфона.

Специалиста по безопасности смущает такой подход со стороны компании, ведь все данные, передаваемые между смартфоном и серверами компании, идут по незащищенному протоколу HTTP. Это значит, что злоумышленники могут осуществить Man-In-The-Middle-атаку и подменить файл, установив на телефон любое приложение с таким же названием - и пользователь даже не будет знать об этом.

Представители Xiaomi настаивают на обратном и говорят, что файл защищен специальной цифровой подписью, что является гарантией безопасности при установке данного ПО.