Súlyos problémát fedeztek fel a Xiaomi mobiljain

2016.09.16. 14:32

Biztonsági rést fedeztek fel a Xiaomi Androidra épülő felületén, amelyen keresztül nemcsak maga a kínai gyártó, de akár hackerek is hozzáférhetnek a telefon tartalmához, a felhasználó adataihoz.

Valószínűleg a legtöbben már okostelefont használnak, legalábbis van a családban valaki, aki már alkalmazások telepítésére képes eszközzel rendelkezik. No de milyen gyártótól származik a telefon? Samsung, HTC, OnePlus, Xiaomi, Oppo? Igazából teljesen lényegtelen, hiszen mindegyik vállalat módosít a gyári Android rendszeren, és saját felülettel látja el mobiljait.

Így jöhettek létre olyan egyedi szoftverek (ROM-ok), mint a CyanogenMod, a Paranoid Android, a MIUI, vagy éppen a VibeUI. Jellemzően mindegyik tartalmaz olyan alkalmazást, ami más gyártók készülékein nem található meg, pont azért, hogy ezzel valamilyen szinten növeljék a telefonok teljesítményét, legalábbis ezzel áltassák a felhasználókat.

Az ominózus Xiaomi Mi4Forrás: Xiaomi

De vajon hányan vannak tisztában azzal, hogy a mobilon milyen előre feltelepített applikációk vannak, és ezek mire használhatók, milyen biztonsági kockázatot rejtenek? Valószínűleg elég kevesen.

Egy hollandiai informatikushallgató komolyabban érdeklődött a téma iránt, és észrevette, hogy a birtokában lévő Xiaomi Mi4-en az AnalyticsCore.apk ismeretlen célból napi 24 órában fut.

Ez ezért is érdekes, mert a Xiaomit már többször megvádolták kártevők terjesztésével, illetve olyan programok telepítésével, amik a felhasználóról gyűjtenek információkat.

Bármikor települhet az alkalmazás

Miután Thijs Broenink a hivatalos fórumokon is érdeklődött az AnalyticsCore.apk iránt, és válaszra senki sem méltatta, vizsgálódott, majd rájött, hogy a program mindennap új frissítések után kutat a gyártó hivatalos weboldalán. Az információlekérésekkel egy időben a szoftver elküldte az IMEI- és a modellszámot, a MAC-címet, vagyis kvázi minden fontos adatot a telefonról.

Ha pedig valamilyen frissítést talált, akkor azt automatikusan letöltötte a háttérben, méghozzá a felhasználó tudta nélkül, az Analytics.apk-ra hivatkozva. Broenink egy blogbejegyzésben azt nyilatkozta, hogy „nem talált igazán terhelő bizonyítékot az Analytics appra nézve, szóval valamilyen magasabb prioritású, rendszerszintű applikáció végezheti a műveletet”.

Vajon mihez fér még hozzá a Xiaomi, amiről nem is tudunk?dreamstime

Ennél nagyobb probléma, hogy az .apk fájl hitelességét egyáltalán nem ellenőrzi a mobil, vagyis ez a hackerek számára egy tökéletes, befoltozatlan rést jelent. Ráadásként ezt maga a Xiaomi is ki tudja használni, hiszen Analytics.apk néven bármit fel tud telepíteni a telefonra. 

Mit lehet tenni?

Nyilván ez a történet elég bosszantó, és a legtöbben szeretnének tenni ellene, mert egyrészt senkinek nincs köze a személyes adatokhoz, másrészt pedig senkinek nem jó, ha a készülékek összevissza telepítenek mindent, amikről azt sem tudjuk, hogy miért vannak fent. 

Az egyetlen megoldás egyelőre az, hogy valamilyen tűzfalas programmal látjuk el a mobilt, amivel blokkolható a hozzáférés a Xiaomi kötelékébe tartozó domainekhez. Egyelőre még a Xiaomi nem adott ki hivatalos tájékoztatást, és erre a jövőben is elég kevés esély mutatkozik.

További cikkek: