Xiaomi может устанавливать на смартфоны любые программы без ведома владельцев

В своё время MIUI стартовала как простая надстройка над Android. Постепенно она обрастала всё новыми программами, настройками и функциями, так что сегодня можно утверждать, что это самостоятельная операционная система, хотя и имеющая в своей основе Android.

Среди многочисленного «фирменного» софта, имеющегося в MIUI, исследователь компьютерной безопасности Тайс Брунинк (Thijs Broenink) обратил внимание на ничем не примечательную программу AnalyticsCore.apk, которая постоянно работает в фоне. Основное подозрение вызвало то, что эта утилита снова и снова появлялась на смартфоне даже после тщательного удаления.

В ответ на запрос о предназначении этого файла компания Xiaomi решила отделаться глухим молчанием. Тогда Тайс декомпилировал код и увидел, что программа каждые 24 часа пересылает на сервер производителя идентификационные данные, в том числе IMEI, модель устройства, MAC-адрес и многое другое. Кроме того, программа проверяет наличие новой версии на сервере и в случае её обнаружения автоматически скачивает и устанавливает её. Пользователь, разумеется, остаётся совершенно не в курсе тайной жизни своего смартфона.

Самое же неприятное заключается в том, что приложение AnalyticsCore.apk не проверяет подлинность скачиваемого файла. Это значит, что компания Xiaomi имеет возможность установить любую программу на ваше устройство под видом AnalyticsCore.apk. Этой же лазейкой могут воспользоваться хакеры, ведь соединение с сервером Xiaomi осуществляется по незащищённому протоколу и легко может быть взломано.

Пока, насколько мне известно, компания никак не прокомментировала найденную уязвимость. Однако на форуме пользователей MIUI поднялась настоящая буря.

Вот именно поэтому я всегда советую использовать вместо MIUI какой-нибудь чистый Android. Да здравствуют AOSP, CyanogenMod и их производные!