Xiaomi может удаленно установить на любой смартфон собственного производства любое приложение.

Как известно, производители Android-устройств Xiaomi, HTC, Самсунг и OnePlus используют не «чистую» версию ОС, а кастомизированную прошивку (например, CyanogenMod, Paranoid андроид, MIUI и пр.) с предустановленными приложениями и темами. Ученик голландского университета Тайс Броенинк проверил свое устройство от Xiaomi и нашел уязвимость системы, которая может позволить злоумышленнику автоматом установить любое приложение на устройстве. Программа работала регулярно, а удалить ее было невозможно. Изучив программный код приложения, Броенинк установил, что оно каждые 24 часа проверяет наличие обновлений на серверах Xiaomi. Как отметил голландец, устройств проверки APK нет, другими словами Xiaomi может загрузить на аппарат пользователей любое приложение. Оно отправляет данные идентификации устройства, включая модель, IMEI, MAC-адрес, Nonce, имя пакета, а кроме этого подпись.

Броенинк нашел в своем телефоне приложение AnalyticsCore, которое работало 24 часа в сутки, и которое нереально было удалить со смартфона. Отыскать информацию о нем в глобальной сети и даже на официальном сайте производителя нереально, поэтому остается только догадываться, зачем Xiaomi устанавливает программу на свои устройства.

Проверки подлинность загружаемого файла Броенинк не нашел.

В телефонах Xiaomi обнаружили критическую уязвимость. Если же на сервере присутствует обновление в виде Analytics.apk, оно будет автоматом устанавливаться на смартфон без какого-нибудь подтверждения со стороны пользователя. Кроме самой компании, пользоваться бэкдором могут правительственные спецслужбы либо киберпреступники.

Ученик также обратил внимание на тот факт, что AnalyticsCore в своем запросе к серверу сообщает IMEI абонента.