Китайская компания Xiaomi опубликовала официальный комментарий относительно таинственного бэкдора, обнаруженного на смартфоне Xiaomi Mi4. Речь идет о постоянно работающем в фоновом режиме приложении AnalyticsCore.apk, которое восстанавливается после попыток его удалить. При каждом подключении к официальному серверу производителя программа передает информацию об устройстве, включая название модели, IMEI, MAC-адрес и Nonce.
По мнению обнаружившего проблему нидерландского студента Тийса Броенинка (Thijs Broenink), под видом файла Analytics.apk Xiaomi может принудительно установить на устройстве и запустить в фоновом режиме любое приложение.
Присутствие AnalyticsCore.apk было замечено еще в ноябре прошлого года, однако компания упорно игнорировала обсуждение вопроса на техническом форуме. После сообщения Броенинка Xiaomi все же предоставила официальный комментарий изданию The Hacker News.
Как пояснили в компании, AnalyticsCore является встроенным компонентом MIUI-системы и используется MIUI для анализа данных и передачи их разработчикам с целью улучшения оболочки и пользовательских впечатлений в целом. Xiaomi признала, что обновления действительно устанавливаются, но только в том случае, если они имеют официальную цифровую подпись.
“Любой apk под видом AnalyticsCore не удастся установить именно по причине сверки цифровой подписи. В версии MIUI 7.3, выпущенной в апреле/мае, появилась поддержка протокола HTTPS для обеспечения безопасной передачи данных и исключения возможности проведения атаки “человек посередине””, – подчеркнул представитель Xiaomi. От комментариев относительно возможности принудительной установки любого приложения со стороны компании в Xiaomi отказались. (Xiaomi/NovostIT)