Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
18 сентября 2016, Источник: Блог Тийса Броенинка

В известных китайских смартфонах найдена опасная уязвимость

Голландский специалист по безопасности Тийс Броенинк обнаружил опасную уязвимость в программном обеспечении смартфона Xiaomi Mi4. В фирменной прошивке есть бэкдор, который позволяет производителю установить на устройство любое приложение. Описанием проблемы Броенинк поделился в своем блоге.

Суть уязвимости

Броенинк обнаружил, что на смартфоне Xiaomi в фоновом режиме запускается приложение AnalyticsCore. Зачем оно нужно, на официальном форуме интернет-магазина производителя не ответили.

Специалист решил выяснить назначение приложения для Xiaomi Mi4 самостоятельно и получил исходный код скомпилированной программы, выполнив обратный инжиниринг.  Оказалось, что приложение раз в сутки связывается с сервером производителя, чтобы получить обновления прошивки. Кроме того, AnalyticsCore может самостоятельно устанавливать apk-файлы без участия пользователя в фоновом режиме. К тому же в запросе передается IMEI телефона.

Злоумышленники также могут воспользоваться этим бэкдором. Так как соединение с сервером Xiaomi не зашифровано, связь легко перехватить.

Проверки подлинность загружаемого файла Броенинк не обнаружил. Это значит, что под видом обновления ПО производителя можно загрузить и установить на смартфон любой файл, в том числе и вредоносный.  

Комментарий производителя

Xiaomi  утверждает, однако, что цифровая подпись apk-файла проверяется. Кроме того, начиная с версии прошивки MIUI 7.3, выпущенной в апреле-мае, используется не HTTP, а защищенное HTTPS-соединение.  

Что делать

Броенинк не тестировал другие смартфоны, поэтому утверждать, что уязвимость есть в прошивках всех устройств, нельзя. Однако специалист советует использовать межсетевой экран для блокировки доступа к связанным с компанией доменам.

Цены на смартфоны Xiaomi в России

Расскажите друзьям об опасной уязвимости в популярных китайских смартфонах — нажмите на одну из кнопок ниже
Xiaomi Mi4 16GB
ОС: Android 4.4.2 • Процессор: Qualcomm Snapdragon 801 • Оперативная память: 3 ГБ • Встроенная память: 16 ГБ • Разрешение фото: 13 Мпикс • Диагональ экрана: 5 "Подробнее
Комментарии
18
Кирилл Пирогов
В ответ на комментарий от Дмитрий Левин
Комментарий удален.Почему?
доказано?))))))))))))))))))))))))))))))))
СсылкаПожаловаться
Мидори
Я знаю как закрыть эту уязвимость. Надо отключить передачу данных ;)
СсылкаПожаловаться
Z
В ответ на комментарий от Дмитрий Давидович Левин История переписки8
Комментарий удален.Почему?
Пургу не гони.
Это только ты тут создаешь
левые аккаунты тех , кто тут раньше был
или тех , кто тебя раздражает.
Пример, Ady Odyssey,
Он никогда не базарил про политику
тут ,
Ты его подставил ,
что даже Савонаролка повёлся.
Хотя почему даже?
У Савонаролки ум не аналитический
как у меня .
Как он мог тебя вычислить?,
я ему помог, открыл глаза.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 6S 32GB
от35 780руб.
Apple iPhone 7 32GB
от43 400руб.
Samsung Galaxy A5 (2016)
от17 100руб.
Apple iPhone SE 64GB
от28 590руб.
Xiaomi Mi5 32GB
от16 130руб.
Apple iPhone 7 128GB
от51 480руб.
Xiaomi Redmi 3S Pro 32GB
от9 590руб.
Meizu M3 Note 16GB
от9 290руб.
Samsung Galaxy J2 Prime
от7 935руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru