Theoretisch kann Xiaomi jede Anwendung über eine speziell linke Hintertür auf seinen Smartphones installieren.



    Xiaomi kann jede Anwendung aus der Ferne auf jedem Smartphone seiner eigenen Produktion installieren. Dies wurde aufgedeckt, nachdem ein niederländischer Student für Computersicherheit auf die seltsame vorinstallierte Anwendung AnalyticsCore.apk aufmerksam gemacht hatte, die auf dem Xiaomi MI4-Smartphone 24/7 ausgeführt wird.

    Nachdem die Frage nach der Herkunft von AnalyticsCore.apk im offiziellen Forum für technischen Support ignoriert wurde, hat Tys Broenink die Anwendung zurückentwickeltund fand heraus, dass es alle 24 Stunden Daten mit den offiziellen Servern des Unternehmens austauscht. Die Anwendung hat jedes Mal Daten über das IMEI-Gerät, die MAC-Adresse, digitale Signaturen und andere Informationen gesendet. Wenn der Server über ein Update in Form von Analytics.apk verfügt, wird es automatisch auf dem Smartphone installiert, ohne dass der Benutzer dies bestätigt.

    Taise glaubt, dass diese privilegierte Anwendung von Xiaomi die Installation unabhängig vom Benutzer im Hintergrund startet. Daraus folgerte er, dass Xiaomi unter dem Deckmantel von Analytics.apk jedes Paket verschieben und im Hintergrund installieren kann.

    Der Niederländer konnte keine Informationen darüber finden, warum Xiaomi eine solche Hintertür brauchte. Das Hauptproblem ist, dass apk über das http-Protokoll mit dem Server kommuniziert und der Datenaustausch Man-In-The-Middle-Angriffen unterliegt.

    Ein weiteres Problem besteht darin, dass AnalyticsCore.apk auch nach dem Entfernen nach einer Weile auf dem Telefon angezeigt wird, d. H. mit gewöhnlichen Mitteln ist es unmöglich, es loszuwerden.

    Bis zu einem gewissen Punkt ignorierte das Xiaomi-Team die Diskussion über AnalyticsCore.apk im offiziellen Forum für technischen Support des Unternehmens hartnäckig, gab jedoch weiterhin Kommentare zu diesem Thema ab:

    AnalyticsCore ist eine integrierte Komponente des MIUI-Systems und wird von MIUI zur Datenanalyse verwendet, um Unternehmensentwicklern dabei zu helfen, die Benutzeroberfläche ihrer Produkte zu verbessern.

    Gleichzeitig behaupten die Entwickler, dass es keine Sicherheitslücke gibt, da Analytics.apk durch eine digitale Signatur geschützt ist, die immer überprüft wird, bevor das Anwendungsupdate auf dem Smartphone installiert wird. Ihrer Meinung nach ist dies ein ausreichender Schutz vor Eindringlingen.

    Es wird nicht möglich sein, APKs unter dem Deckmantel von AnalyticsCore zu installieren, und in den April / Mai-Updates von MIUI Version 7.3 haben wir Unterstützung für das HTTPS-Protokoll hinzugefügt, um die Sicherheit der Benutzer zu erhöhen und die Möglichkeit eines Man-in-Middle-Angriffs auszuschließen.

    Das Unternehmen hat es unterlassen, die mögliche erzwungene Installation einer Anwendung von Xiaomi auf dem Gerät des Benutzers zu kommentieren.

    Jetzt auch beliebt: