Mail.ruПочтаМой МирОдноклассникиВКонтактеИгрыЗнакомстваНовостиПоискОблакоComboВсе проекты
, Источник: Блог Тийса Броенинка

В известных китайских смартфонах найдена опасная уязвимость

Голландский специалист по безопасности Тийс Броенинк обнаружил опасную уязвимость в программном обеспечении смартфона Xiaomi Mi4. В фирменной прошивке есть бэкдор, который позволяет производителю установить на устройство любое приложение. Описанием проблемы Броенинк поделился в своем блоге.

Суть уязвимости

Броенинк обнаружил, что на смартфоне Xiaomi в фоновом режиме запускается приложение AnalyticsCore. Зачем оно нужно, на официальном форуме интернет-магазина производителя не ответили.

Специалист решил выяснить назначение приложения для Xiaomi Mi4 самостоятельно и получил исходный код скомпилированной программы, выполнив обратный инжиниринг.  Оказалось, что приложение раз в сутки связывается с сервером производителя, чтобы получить обновления прошивки. Кроме того, AnalyticsCore может самостоятельно устанавливать apk-файлы без участия пользователя в фоновом режиме. К тому же в запросе передается IMEI телефона.

Производитель может установить на смартфон любое ПО без ведома и согласия пользователя

Злоумышленники также могут воспользоваться этим бэкдором. Так как соединение с сервером Xiaomi не зашифровано, связь легко перехватить.

Проверки подлинность загружаемого файла Броенинк не обнаружил. Это значит, что под видом обновления ПО производителя можно загрузить и установить на смартфон любой файл, в том числе и вредоносный.  

Комментарий производителя

Xiaomi  утверждает, однако, что цифровая подпись apk-файла проверяется. Кроме того, начиная с версии прошивки MIUI 7.3, выпущенной в апреле-мае, используется не HTTP, а защищенное HTTPS-соединение.  

Что делать

Броенинк не тестировал другие смартфоны, поэтому утверждать, что уязвимость есть в прошивках всех устройств, нельзя. Однако специалист советует использовать межсетевой экран для блокировки доступа к связанным с компанией доменам.

Цены на смартфоны Xiaomi в России

Расскажите друзьям об опасной уязвимости в популярных китайских смартфонах — нажмите на одну из кнопок ниже
Смартфон Xiaomi Mi4 16GB
Процессор: Qualcomm Snapdragon 801 • Встроенная память: 16 ГБ
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Комментарии
18
Кирилл Пирогов
В ответ на комментарий от Дмитрий Левин
Комментарий удален.Почему?
доказано?))))))))))))))))))))))))))))))))
СсылкаПожаловаться
Мидори
Я знаю как закрыть эту уязвимость. Надо отключить передачу данных ;)
СсылкаПожаловаться
Z
В ответ на комментарий от Дмитрий Давидович Левин История переписки8
Комментарий удален.Почему?
Пургу не гони.
Это только ты тут создаешь
левые аккаунты тех , кто тут раньше был
или тех , кто тебя раздражает.
Пример, Ady Odyssey,
Он никогда не базарил про политику
тут ,
Ты его подставил ,
что даже Савонаролка повёлся.
Хотя почему даже?
У Савонаролки ум не аналитический
как у меня .
Как он мог тебя вычислить?,
я ему помог, открыл глаза.
СсылкаПожаловаться
Максим Смирнов
Знаю двух человек (одного лично), которые были несколько лет назад в избирательных комиссиях гос предприятия и в сельской местности. Оба вынуждены были уйти из комиссий, так как отказались делать нужные результаты. Слава партии!
СсылкаПожаловаться
Z
В ответ на комментарий от Иван Иванов История переписки6
Иван Иванов
Поделись опытом...чего делать и как?
СсылкаПожаловаться
Очень просто .
Получи права пользователя над Виндовс 10
и удаляй всё что тебе не нужно.
Шрифты, курсоры, системные звуки,
видео, картинки.
Вообщем весь мусор из самой Виндовс 10
и у тебя тоже будет не просто машина для езды
а гоночный спорткар.
Но , как пишут умные умники
вся ответственность на тебе
если после твоих манипуляций
твоя Виндовс 10 грохнется.
СсылкаПожаловаться
Дед Пихто
они следят за мной, я знаю
СсылкаПожаловаться
Иван Иванов
В ответ на комментарий от Z История переписки5
Z
Кстати,
я , уже писал, да модер стёр
от зависти наверно,
он же сидит на Мак ОС
Я Виндовс 10 отщлифовал до идеала
удалил даже магазин
и все метро приложения
почистил системную корневую Винду
теперь у меня Виндовс 10
весит 9,5 ГБ
против остальных у которых она весит 13 - 16 ГБ.
Виндовс 10 у меня просто летает,
сижу за ней и не нарадуюсь.
СсылкаПожаловаться
Поделись опытом...чего делать и как?
СсылкаПожаловаться
владимир титов
Самсунг проплатила, полюбасу...
СсылкаПожаловаться
nardep sfx
что за фигня? у ВСЕХ смартфонов висит сервис автообновления.
СсылкаПожаловаться
Hack
Причём только у шаоми, да уж... Пишите... Ёжики и не такое хавали... Не пойму только, почемуйто давно нет рекламы айогрызка... Рекламный период истёк?
СсылкаПожаловаться
Александр Иващук
В ответ на комментарий от Джеймс Девиван История переписки8
Комментарий удален.Почему?
Ты поплачь ещё.
СсылкаПожаловаться
SAW
В ответ на комментарий от Z
Z
Смотрел Рен ТВ
Такая уязвимость на всех смартфонах
и айфон не исключение.
АНБ попросила , а кому приказала
и больно-то никто не спорил.
Надо , значит надо.
СсылкаПожаловаться
"Смотрел Рен ТВ"
Я в принципе догадывался что ты из тех самых людей...
СсылкаПожаловаться
Z
В ответ на комментарий от Джеймс Девиван История переписки6
Комментарий удален.Почему?
Нафига мне сторонние приложения
делать масштабированными ?
Если слепой ,
расширь приложение во весь экран.
Если и это не поможет,
уменьши разрешение экрана.
СсылкаПожаловаться
Z
В ответ на комментарий от Felix Edmundovich Kukunder История переписки4
Комментарий удален.Почему?
Кстати,
я , уже писал, да модер стёр
от зависти наверно,
он же сидит на Мак ОС
Я Виндовс 10 отщлифовал до идеала
удалил даже магазин
и все метро приложения
почистил системную корневую Винду
теперь у меня Виндовс 10
весит 9,5 ГБ
против остальных у которых она весит 13 - 16 ГБ.
Виндовс 10 у меня просто летает,
сижу за ней и не нарадуюсь.
СсылкаПожаловаться
Z
В ответ на комментарий от Felix Edmundovich Kukunder История переписки2
Комментарий удален.Почему?
А причём тут я ?
Все подрузумевают под Вовой
Дивана.
Я , в стороне , как Сердюков от Закона.
СсылкаПожаловаться
Z
В ответ на комментарий от Felix Edmundovich Kukunder История переписки2
Комментарий удален.Почему?
Да, нет,
Ты не прав,
Рен ТВ смотреть можно,
другое дело что умный человек ,
делит информацию от туда
на пополам.
Половине верить можно,
вторая половина под сомнением.
СсылкаПожаловаться
Z
Сейчас жизнь такая пошла
всех нужно пересчитать,
пока они законопослушны.
Кто убежал в игил
тех уже не посчитаешь.
СсылкаПожаловаться
Z
Смотрел Рен ТВ
Такая уязвимость на всех смартфонах
и айфон не исключение.
АНБ попросила , а кому приказала
и больно-то никто не спорил.
Надо , значит надо.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Вы не ввели текст комментария
Вы не ввели текст комментария
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас