ChimeraRevo – Le migliori guide e recensioni tech del Web
menubar
ChimeraRevo – Le migliori guide e recensioni tech del Web close menu
  • Offerte
  • Guide
  • Guide di acquisto
  • Recensioni
Home > Guide > Android > Una backdoor nella MIUI permette a Xiaomi di installare app da remoto

Una backdoor nella MIUI permette a Xiaomi di installare app da remoto

Gaetano Abatemarco Set 16, 2016

Non è la prima volta che Xiaomi finisce nel centro del mirino a causa di qualche problemino con la privacy della sua ROM MIUI. Oggi, “grazie” ad una ricerca messa a punto da due analisti, arriva un’altra brutta notizia per i possessori della ROM e di alcuni terminali Xiaomi.

Sembra infatti che, sul sistema operativo MIUI, sia presente un’app preinstallata – tale AnalyticsCore.apk – che è attiva 24 ore su 24, 7 giorni su 7, e che ricompare anche se eliminata.

miui-logo

Incuriosito e senza aver ottenuto risposta da Xiaomi, Thijs Broeink – uno dei due ricercatori – ha fatto operazione di reverse engineering sul codice, scoprendo che quest’app verifica la presenza di aggiornamenti sul server ufficiale Xiaomi ogni 24 ore.

All’interno della richiesta vengono inviate, tra le altre cose, informazioni quali l’IMEI dello smartphone, il modello e l’indirizzo MAC del dispositivo; se sul server risulta presente una versione di “Analytics.apk” più aggiornata di quella corrente, essa viene automaticamente scaricata ed installata in background senza richiedere l’installazione dell’utente.

Credo che un’app privilegiata Xiaomi si installi in background.

Il problema, come Broenink spiega, è che il sistema non effettua nessun tipo di verifica sulla correttezza e sull’integrità dell’APK, dunque il sistema installerebbe automaticamente qualsiasi “Analyitcs.apk” aggiornato presente sui server di Xiaomi a prescindere dal contenuto.

Dunque pare che Xiaomi possa sostituire qualsiasi pacchetto (firmato?) voglia entro 24 ore. E non sono sicuro delle tempistiche con cui l’App Installer viene richiamato, ma sono curioso di sapere se fosse possibile piazzare un Analytics.apk personalizzato nella directory corretta ed attendere che sia installato.

Ciò significa principalmente due cose: la prima è che Xiaomi è potenzialmente in grado di installare qualsiasi app da remoto sullo smartphone degli utenti senza che questi ne vengano a conoscenza, semplicemente modificando il file “Analytics.apk”.

La seconda è che questa “backdoor” può essere sfruttata anche da utenti malintenzionati, che grazie ad un attacco man-in-the-middle potrebbero intercettare e veicolare la connessione HTTP, portando all’installazione da remoto di app dannose.

Broenink non è stato in grado di comprendere perché l’app AnalyticsCore sia presente sui dispositivi né lo scopo preciso dell’app. Xiaomi non ha ancora rilasciato informazioni in merito e non sappiamo se lo farà.

Fino ad allora, una soluzione temporanea potrebbe essere quella di bloccare l’accesso ai domini ufficiali Xiaomi tramite un’app firewall. E voi avete il processo AnalyticsCore in memoria? Fatecelo sapere!

AGGIORNAMENTO: Xiaomi ha ufficialmente risposto, non si tratta di una backdoor. Maggiori informazioni nel nostro articolo dedicato:

miui logo
La MIUI contiene una backdoor? La risposta ufficiale di XiaomiIl produttore cinese spiega l'utilità del contestato 'AnalyticsCore' rendendone pubblico il fine; l'aggiornamento (automatico) avviene tramite HTTPS e verifica di firma digitale
Android

Come regalare credito per App Store, Play Store e Amazon

5 giorni fa

I regali più popolari da fare agli amici per Natale o altre occasioni sono sicuramente le gift card, che hanno un credito prepagato scelto da chi le regala e sono disponibili in molte forme e leggi di più…

gift card

Intelligenza artificiale e creazione di immagini: i migliori servizi

5 giorni fa

L’intelligenza artificiale sta rivoluzionando il modo in cui creiamo e modifichiamo le immagini. Con l’avvento dell’apprendimento profondo e delle tecnologie di rete neurale, ora è possibile utilizzare l’IA per generare immagini di alta qualità in leggi di più…

AI dimensioni medie

Come spegnere in automatico il router di notte

1 settimana fa

Al giorno d’oggi avere una connessione a Internet a casa è diventata la normalità. Tuttavia, potrebbero esserci alcuni momenti nel corso della giornata in cui il Wi-Fi potrebbe non essere necessario, ad esempio quando siete leggi di più…

come spegnere in automatico il router di notte

Come trasferire musica da PC ad iPhone

3 settimane fa

La maggior parte degli utenti iPhone si interroga su come trasferire file MP3 da PC sul proprio smartphone. Nonostante possa sembrare una procedura difficoltosa, in realtà bastano pochi e semplici passaggi semplicemente sfruttando il tool leggi di più…

Come trasferire musica da PC ad iPhone

WhatsApp permette ora di cercare per data

1 mese fa

WhatsApp, il popolare servizio di messaggistica, ha recentemente introdotto una nuova funzionalità che permette agli utenti di effettuare una ricerca per data delle conversazioni. Questa opzione è molto utile per chi ha bisogno di trovare leggi di più…

Nascondere lo stato online di WhatsApp

Iscriviti alla Newsletter

Articoli recenti

  • Come regalare credito per App Store, Play Store e Amazon
  • Intelligenza artificiale e creazione di immagini: i migliori servizi
  • Come spegnere in automatico il router di notte
  • Come trasferire musica da PC ad iPhone
  • WhatsApp permette ora di cercare per data
  • Chi siamo
  • Contatti
  • Pubblicità
  • Lavora con noi
  • Privacy

Copyright © 2020. Tutti i diritti riservati. ChimeraRevo SRL - P.I.: IT05544220659

Modifica impostazioni sulla privacy