Таинственную уязвимость телефонов Xiaomi нашел ученик из Нидерландов

Как известно, производители Android-устройств Xiaomi, HTC, Самсунг и OnePlus используют не «чистую» версию ОС, а кастомизированную прошивку (например, CyanogenMod, Paranoid андроид, MIUI и пр.) с предустановленными приложениями и темами. От комментариев на тему вероятной принудительной установки любого приложения со стороны Xiaomi на устройство пользователя компания воздержалась. Но, в недалеком прошлом нидерландскому студенту удалось найти уязвимость в системе одного из телефонов компании. Так и не дождавшись ответа, он выполнил реверс-инжиниринг приложения. Клиент Xiaomi из Нидерландов заметил, что на его телефоне в фоновом режиме регулярно работает какая-то программа AnalyticsCore.

На протяжении суток программа 24 раза обменивается данными с основным сервером компании, и этот обмен информацией происходит по каналу, который абсолютно не защищен. Всякий раз приложение отправляло данные об IMEI устройства, MAC-адрес, цифровые подписи и иную информацию. Проведя исследование, он выяснил, что приложение обменивается с серверами Xiaomi и сообщает на них массу информации об устройстве. Отыскать информацию о нем в глобальной сети и даже на официальном сайте производителя нереально, поэтому остается только догадываться, зачем Xiaomi устанавливает программу на свои устройства. Если оно находит на сервере компании новый APK-файл с названием «Analytics.apk», то скачивает и устанавливает их без ведома пользователя.

Проверки подлинность загружаемого файла Броенинк не нашел. Это значит, что злоумышленники могут выполнить Man-In-The-Middle-атаку и подменить файл, установив на телефон любое приложение с таким же названием — и пользователь даже не будет знать об этом.

Студент из Нидерландов обнаружил в устройствах Xiaomi уязвимость системы

Поделитесь своим мнением
Для оформления сообщений Вы можете использовать следующие тэги:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

life event в соц.сетях

© 2021 LIFE event