Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
18 сентября 2016, Источник: Блог Тийса Броенинка

В известных китайских смартфонах найдена опасная уязвимость

Голландский специалист по безопасности Тийс Броенинк обнаружил опасную уязвимость в программном обеспечении смартфона Xiaomi Mi4. В фирменной прошивке есть бэкдор, который позволяет производителю установить на устройство любое приложение. Описанием проблемы Броенинк поделился в своем блоге.

Суть уязвимости

Броенинк обнаружил, что на смартфоне Xiaomi в фоновом режиме запускается приложение AnalyticsCore. Зачем оно нужно, на официальном форуме интернет-магазина производителя не ответили.

Специалист решил выяснить назначение приложения для Xiaomi Mi4 самостоятельно и получил исходный код скомпилированной программы, выполнив обратный инжиниринг.  Оказалось, что приложение раз в сутки связывается с сервером производителя, чтобы получить обновления прошивки. Кроме того, AnalyticsCore может самостоятельно устанавливать apk-файлы без участия пользователя в фоновом режиме. К тому же в запросе передается IMEI телефона.

Производитель может установить на смартфон любое ПО без ведома и согласия пользователя

Злоумышленники также могут воспользоваться этим бэкдором. Так как соединение с сервером Xiaomi не зашифровано, связь легко перехватить.

Проверки подлинность загружаемого файла Броенинк не обнаружил. Это значит, что под видом обновления ПО производителя можно загрузить и установить на смартфон любой файл, в том числе и вредоносный.  

Комментарий производителя

Xiaomi  утверждает, однако, что цифровая подпись apk-файла проверяется. Кроме того, начиная с версии прошивки MIUI 7.3, выпущенной в апреле-мае, используется не HTTP, а защищенное HTTPS-соединение.  

Что делать

Броенинк не тестировал другие смартфоны, поэтому утверждать, что уязвимость есть в прошивках всех устройств, нельзя. Однако специалист советует использовать межсетевой экран для блокировки доступа к связанным с компанией доменам.

Цены на смартфоны Xiaomi в России

Расскажите друзьям об опасной уязвимости в популярных китайских смартфонах — нажмите на одну из кнопок ниже
Xiaomi Mi4 16GB
ОС: Android 4.4.2 • Процессор: Qualcomm Snapdragon 801 • Оперативная память: 3 ГБ • Встроенная память: 16 ГБ • Разрешение фото: 13 Мпикс • Диагональ экрана: 5 "
Подробнее
Обзоры новинок
Подробности о главных премьерах
Комментарии
18
Кирилл Пирогов
В ответ на комментарий от Дмитрий Левин
Комментарий удален.Почему?
доказано?))))))))))))))))))))))))))))))))
СсылкаПожаловаться
Мидори
Я знаю как закрыть эту уязвимость. Надо отключить передачу данных ;)
СсылкаПожаловаться
Z
В ответ на комментарий от Дмитрий Давидович Левин История переписки8
Комментарий удален.Почему?
Пургу не гони.
Это только ты тут создаешь
левые аккаунты тех , кто тут раньше был
или тех , кто тебя раздражает.
Пример, Ady Odyssey,
Он никогда не базарил про политику
тут ,
Ты его подставил ,
что даже Савонаролка повёлся.
Хотя почему даже?
У Савонаролки ум не аналитический
как у меня .
Как он мог тебя вычислить?,
я ему помог, открыл глаза.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru