AnalyticsCore.apk - неизвестная программа, предустановленная на Android-смартфонах Xiaomi


Mobilnie zlovrediПроизводители Xiaomi, HTC, Samsung и OnePlus используют для  Android-устройств кастомизированную прошивку (например, CyanogenMod, Paranoid Android, MIUI и пр.) с предустановленными приложениями и темами. Изначально данные программы призваны повысить производительность смартфонов и добавить функциональность. Однако некоторые приложения являются бэкдорами.

Так, один студент из Нидерландов решил выяснить предназначение неизвестной программы AnalyticsCore.apk, предустановленной на его смартфоне Xiaomi Mi4. Данное приложение работает в фоновом режиме 24 часа в сутки 7 дней в неделю и восстанавливается после попыток его удалить.

На форуме поддержки Xiaomi был задан вопрос по предназначению AnalyticsCore - ответа не последовало. После этого студент осуществил реверс-инжиниринг приложения. Оказалось, что оно подключается к официальному серверу производителя и проверяет наличие доступных обновлений раз в 24 часа. Однако, при каждом подключении, AnalyticsCore передает на сервер данные об устройстве, в том числе название модели, IMEI, MAC-адрес и Nonce.

В случае, если на сервере появилось обновленное приложение с именем файла Analytics.apk, то оно будет автоматически загружено и установлено на устройство в фоновом режиме без какого-либо участия со стороны пользователя. Исходя из этого, можно сделать вывод, что приложение Xiaomi наделено повышенными привилегиями.

Пока не известно, проверяет ли смартфон подлинность APK, и если да, то каким образом определяет, что загруженное приложение – действительно AnalyticsCore. Исследователь утверждает, что какие-либо механизмы проверки APK отсутствуют, а значит, Xiaomi может удаленно и незаметно установить на устройство любое приложение, загрузив его на свой сервер под именем AnalyticsCore.apk.

Узнать предназначение программы студент так и не сумел. Также не удалось найти информацию о нем в Сети и даже на официальном сайте производителя. Остается только одно - догадываться, зачем Xiaomi устанавливает программу на свои устройства. Предполагается, что помимо самой компании, воспользоваться бэкдором могут правительственные спецслужбы или киберпреступники.

А поскольку AnalyticsCore получает обновления по незащищенному протоколу HTTP, то злоумышленники могут осуществить атаку "человек посередине".

Чтобы себя обезопасить, владельцам смартфонов Xiaomi рекомендуется заблокировать с помощью межсетевого экрана подключение к какому-либо связанному с компанией домену.


Обновлено (16.09.2016 21:48)