У смартфонах Xiaomi виявлено шкідливе програмне забезпечення типу бекдор, що дозволяє виробнику встановлювати на пристрій будь-які сторонні додатки, повідомляє thehackernews.com. Більш того, зловмисники можуть легко перехопити зв’язок із сервером, оскільки з’єднання не захищене шифруванням.
Студент з Нідерландів Тийс Броенінк (Thijs Broenink), комп’ютерний ентузіаст, який цікавиться комп’ютерною безпекою, виявив бекдор у смартфоні Xiaomi MI4. Бекдором зветься прихована можливість отримання доступу до пристрою (англ.: backdoor – таємний хід). Студент розповів у своєму блозі, що все почалось із того, що його зацікавив додаток AnalyticsCore, запущений на смартфоні у фоновому режимі (ім’я процесу – com.miui.analytics).
Броенінк запитав про призначення програми на офіційному інтернет-форумі Xiaomi, але не отримав відповіді. Після чого вирішив провести зворотний інжиніринг, тобто отримати вихідний код вже відкомпільованої програми.
Як з’ясувалося, AnalyticsCore раз на добу звертається до віддаленого сервера, що належить компанії Xiaomi. Таким чином додаток перевіряє наявність оновлень програмного забезпечення. Дослідник також дізнався, що додаток має можливість встановлювати пакети APK у пам’ять смартфона.
Кожного разу, коли на сервері з’являється новіша версія Analytics.apk, відбувається завантаження цього пакета в пам’ять смартфона без будь-якої участі користувача. «Я не знайшов жодних доказів у коді AnalyticsCore, але вважаю, що додаток Xiaomi з підвищеними привілеями здійснює процес інсталяції у фоновому режимі», – зазначив дослідник.
Студент не знайшов відповіді на питання, чи перевіряє смартфон достовірність APK-файлу, що завантажується, тобто що це саме Analytics.apk. Це означає, що Xiaomi має змогу завантажити на смартфон будь-який додаток під цим ім’ям.
Більш того, AnalyticsCore здійснює зв’язок із сервером за незашифрованим з’єднанням HTTP, що полегшує зловмисникам проведення атаки типу «людина посередині», тобто перехоплення трафіку.
Студент також звернув увагу на той факт, що AnalyticsCore у своєму запиті до сервера передає IMEI абонента. IMEI (міжнародний ідентифікатор мобільного обладнання) – унікальний ідентифікатор для кожного абонентського пристрою. Таким чином, Xiaomi (або зловмисник) може встановлювати шкідливі програми на пристрої конкретних людей, знаючи IMEI їхніх смартфонів.
Броенінк не став інформувати Xiaomi про те, що знайшов уразливість, хоча свою знахідку він охарактеризував саме цим словом. Виробник також не давав офіційних коментарів з цього приводу.
Власники смартфонів Xiaomi можуть захистити себе, заблокувавши мережеве підключення до будь-якого пов’язаного з компанією домену за допомогою брандмауера на пристрої, зазначив Броенінк.
