Una backdoor nella MIUI permette a Xiaomi di installare app da remoto
Non è la prima volta che Xiaomi finisce nel centro del mirino a causa di qualche problemino con la privacy della sua ROM MIUI. Oggi, “grazie” ad una ricerca messa a punto da due analisti, arriva un’altra brutta notizia per i possessori della ROM e di alcuni terminali Xiaomi.
Sembra infatti che, sul sistema operativo MIUI, sia presente un’app preinstallata – tale AnalyticsCore.apk – che è attiva 24 ore su 24, 7 giorni su 7, e che ricompare anche se eliminata.
Incuriosito e senza aver ottenuto risposta da Xiaomi, Thijs Broeink – uno dei due ricercatori – ha fatto operazione di reverse engineering sul codice, scoprendo che quest’app verifica la presenza di aggiornamenti sul server ufficiale Xiaomi ogni 24 ore.
All’interno della richiesta vengono inviate, tra le altre cose, informazioni quali l’IMEI dello smartphone, il modello e l’indirizzo MAC del dispositivo; se sul server risulta presente una versione di “Analytics.apk” più aggiornata di quella corrente, essa viene automaticamente scaricata ed installata in background senza richiedere l’installazione dell’utente.
Credo che un’app privilegiata Xiaomi si installi in background.
Il problema, come Broenink spiega, è che il sistema non effettua nessun tipo di verifica sulla correttezza e sull’integrità dell’APK, dunque il sistema installerebbe automaticamente qualsiasi “Analyitcs.apk” aggiornato presente sui server di Xiaomi a prescindere dal contenuto.
Dunque pare che Xiaomi possa sostituire qualsiasi pacchetto (firmato?) voglia entro 24 ore. E non sono sicuro delle tempistiche con cui l’App Installer viene richiamato, ma sono curioso di sapere se fosse possibile piazzare un Analytics.apk personalizzato nella directory corretta ed attendere che sia installato.
Ciò significa principalmente due cose: la prima è che Xiaomi è potenzialmente in grado di installare qualsiasi app da remoto sullo smartphone degli utenti senza che questi ne vengano a conoscenza, semplicemente modificando il file “Analytics.apk”.
La seconda è che questa “backdoor” può essere sfruttata anche da utenti malintenzionati, che grazie ad un attacco man-in-the-middle potrebbero intercettare e veicolare la connessione HTTP, portando all’installazione da remoto di app dannose.
Broenink non è stato in grado di comprendere perché l’app AnalyticsCore sia presente sui dispositivi né lo scopo preciso dell’app. Xiaomi non ha ancora rilasciato informazioni in merito e non sappiamo se lo farà.
Fino ad allora, una soluzione temporanea potrebbe essere quella di bloccare l’accesso ai domini ufficiali Xiaomi tramite un’app firewall. E voi avete il processo AnalyticsCore in memoria? Fatecelo sapere!
AGGIORNAMENTO: Xiaomi ha ufficialmente risposto, non si tratta di una backdoor. Maggiori informazioni nel nostro articolo dedicato:
