ChimeraRevo – Il punto di riferimento della tecnologia
menubar
Home > Guide > Android > Una backdoor nella MIUI…

Una backdoor nella MIUI permette a Xiaomi di installare app da remoto

Gaetano Abatemarco Set 16, 2016

Non è la prima volta che Xiaomi finisce nel centro del mirino a causa di qualche problemino con la privacy della sua ROM MIUI. Oggi, “grazie” ad una ricerca messa a punto da due analisti, arriva un’altra brutta notizia per i possessori della ROM e di alcuni terminali Xiaomi.

Sembra infatti che, sul sistema operativo MIUI, sia presente un’app preinstallata – tale AnalyticsCore.apk – che è attiva 24 ore su 24, 7 giorni su 7, e che ricompare anche se eliminata.

miui-logo

Incuriosito e senza aver ottenuto risposta da Xiaomi, Thijs Broeink – uno dei due ricercatori – ha fatto operazione di reverse engineering sul codice, scoprendo che quest’app verifica la presenza di aggiornamenti sul server ufficiale Xiaomi ogni 24 ore.

All’interno della richiesta vengono inviate, tra le altre cose, informazioni quali l’IMEI dello smartphone, il modello e l’indirizzo MAC del dispositivo; se sul server risulta presente una versione di “Analytics.apk” più aggiornata di quella corrente, essa viene automaticamente scaricata ed installata in background senza richiedere l’installazione dell’utente.

Credo che un’app privilegiata Xiaomi si installi in background.

Il problema, come Broenink spiega, è che il sistema non effettua nessun tipo di verifica sulla correttezza e sull’integrità dell’APK, dunque il sistema installerebbe automaticamente qualsiasi “Analyitcs.apk” aggiornato presente sui server di Xiaomi a prescindere dal contenuto.

Dunque pare che Xiaomi possa sostituire qualsiasi pacchetto (firmato?) voglia entro 24 ore. E non sono sicuro delle tempistiche con cui l’App Installer viene richiamato, ma sono curioso di sapere se fosse possibile piazzare un Analytics.apk personalizzato nella directory corretta ed attendere che sia installato.

Ciò significa principalmente due cose: la prima è che Xiaomi è potenzialmente in grado di installare qualsiasi app da remoto sullo smartphone degli utenti senza che questi ne vengano a conoscenza, semplicemente modificando il file “Analytics.apk”.

La seconda è che questa “backdoor” può essere sfruttata anche da utenti malintenzionati, che grazie ad un attacco man-in-the-middle potrebbero intercettare e veicolare la connessione HTTP, portando all’installazione da remoto di app dannose.

Broenink non è stato in grado di comprendere perché l’app AnalyticsCore sia presente sui dispositivi né lo scopo preciso dell’app. Xiaomi non ha ancora rilasciato informazioni in merito e non sappiamo se lo farà.

Fino ad allora, una soluzione temporanea potrebbe essere quella di bloccare l’accesso ai domini ufficiali Xiaomi tramite un’app firewall. E voi avete il processo AnalyticsCore in memoria? Fatecelo sapere!

AGGIORNAMENTO: Xiaomi ha ufficialmente risposto, non si tratta di una backdoor. Maggiori informazioni nel nostro articolo dedicato:

miui logo
La MIUI contiene una backdoor? La risposta ufficiale di XiaomiIl produttore cinese spiega l'utilità del contestato 'AnalyticsCore' rendendone pubblico il fine; l'aggiornamento (automatico) avviene tramite HTTPS e verifica di firma digitale
Android

Bracciale fitness: i migliori da comprare

6 ore fa

Uno dei nuovi alleati per lo sport moderno è sicuramente il bracciale fitness. Da qualche decennio a questa parte l’attività fisica e la cura del proprio corpo hanno preso sempre più piede nelle nostre vite leggi di più…

amazfit cor

Asciugatrice Samsung: le migliori da comprare

6 ore fa

Il marchio fa la differenza? Non sempre, è vero, tuttavia possiamo affermare con buona sicurezza che un’asciugatrice Samsung vale tutto quello che costa (e forse anche di più). Come anticipato nella nostra guida generale dedicata leggi di più…

asciugatrice Samsung le migliori da comprare

I migliori monopattini per bambini

7 ore fa

Da quando è scoppiata la monopattino mania sono sempre di più le famiglie che adorano circolare per le strade con questi comodissimi mezzi. A differenza dei modelli per adulti, difficilmente vorreste comprare un monopattino elettrico leggi di più…

migliore monopattino elettrico adulti

Convertire PDF in Word con Mac

7 ore fa

Grazie ad un computer e una connessione ad Internet è ormai possibile completare qualsiasi tipo di operazione e convertire un file da un qualunque formato ad un altro. Oggi, in particolare, ci soffermeremo esclusivamente su leggi di più…

trasformare file Word in PDF

Scope elettriche, robot aspirapolvere e Purificatori d’aria: Offerte Lampo e Codici Sconto su Proscenic

8 ore fa

Lo store Proscenic è famoso per proporre prodotti di elettronica ad un prezzo particolarmente vantaggioso. Abbiamo avuto modo di recensire diversi prodotti di questo brand, tra i quali robot aspirapolvere e scope elettriche dall’ottimo rapporto leggi di più…

proscenic

Iscriviti alla Newsletter

Articoli recenti

  • Bracciale fitness: i migliori da comprare
  • Asciugatrice Samsung: le migliori da comprare
  • I migliori monopattini per bambini
  • Convertire PDF in Word con Mac
  • Scope elettriche, robot aspirapolvere e Purificatori d’aria: Offerte Lampo e Codici Sconto su Proscenic
  • Chi siamo
  • Lavora con noi
  • Contattaci
  • Privacy

Copyright © 2020. Tutti i diritti riservati. ChimeraRevo SRL - P.I.: IT05544220659

Modifica impostazioni sulla privacy