Xiaomi älypuhelimet voidaan asentaa mitään ohjelmaa ilman omistajien lupaa
Android / / December 19, 2019
Xiaomi älypuhelimet yritys tunnetaan paitsi hyvää vastinetta rahoille, mutta myös merkkituotteita MIUI käyttöjärjestelmä. Kuitenkin viime aikoina on löydetty vakava haavoittuvuus.
Tuolloin MIUI aloitti yksinkertainen lisäosa Android. Vähitellen umpeen kaikki uudet ohjelmat, asetukset ja toiminnot, niin että tänään voidaan väittää, että se on riippumaton käyttöjärjestelmästä, vaikka se on sen ydin Android.
Joukossa lukuisia "corporate" ohjelmisto saatavilla MIUI, tietoturva tutkija Thijs Brunink (Thijs Broenink) kiinnitti huomiota mukavalta ohjelmaan AnalyticsCore.apk, joka on jatkuvasti työtä tausta. Pääepäilty oli se, että tämä apuohjelma on ilmestynyt uudelleen ja uudelleen älypuhelimeen vielä huolellisen poiston.
Vastauksena kyselyyn tarkoituksesta tämän tiedoston Xiaomi yhtiö päätti päästä eroon tylsä hiljaisuuden. sitten Theis decompiled koodi ja saha, että ohjelma 24 tunnin välein lähetetään palvelimelle valmistajan tunnistetiedot, mukaan lukien IMEI, laitteen malli, MAC-osoite, ja paljon muuta. Lisäksi ohjelma tarkistaa uuden version palvelimeen ja jos sen havaitseminen lataa automaattisesti ja asentaa sen. Käyttäjä tietenkin ovat täysin tietämätön Secret Life laitteen.
Kaikkein epämiellyttävä on se AnalyticsCore.apk sovellus ei aitouden ladatun tiedoston. Tämä tarkoittaa, että yhtiö Xiaomi on kyky asentaa mitään ohjelmaa laitteeseen varjolla AnalyticsCore.apk. Sama aukko hakkereita voidaan käyttää, sillä yhteys palvelimeen suoritetaan Xiaomi turvaton protokolla ja voidaan helposti vaarantua.
Sikäli kuin tiedän, yhtiö ei kommentoinut löytyneet haavoittuvuudet. Kuitenkin MIUI foorumin käyttäjät nousi läsnä myrsky.
Siksi olen aina neuvoa käyttämään sijaan MIUI joidenkin puhdasta Android. Hail AOSP, CyanogenMod ja niiden johdannaiset!