Компании HTC, OnePlus, Samsung и Xiaomi, производящие устройства на базе Android пользуются кастомизированными версиями операционной системы с предустановленными приложениями. В теории эти программы должны повышать производительность смартфонов и добавлять новый функционал. Однако многие подобные приложения в действительности являются бэкдорами.
Студент из Нидерландов Тийс Броенинк, пользующийся смартфоном Xiaomi Mi4, решил выяснить, какую функцию выполняет предустановленная программа AnalyticsCore.apk, круглосуточно работающая в фоновом режиме. Примечательно, что после попытки удаления приложения оно восстанавливается.
Броенинк хотел найти ответ на данный вопрос на форуме поддержки Xiaomi, но так и не дождался какой-либо реакции специалистов компании. Поэтому он сам провел реверс-инжиниринг приложения. Выяснилось, что оно осуществляет подключение к официальному серверу производителя и раз в сутки проводит проверку наличия доступных обновлений. При каждом сеансе подключения AnalyticsCore пересылает на сервер информацию об устройстве, включая наименование модели, IMEI-идентификатор и MAC-адрес.
Если на сервере есть обновленное приложение с именем файла Analytics.apk, то происходит его загрузка и установка на устройстве в фоновом режиме, при этом пользователь никоим образом не участвует в данном процессе. Броеннинк считает, что это приложение Xiaomi проводит процедуру инсталляции в фоновом режиме с повышенными привилегиями, но он не нашел каких-либо доказательств своей теории в коде самого AnalyticsCore.
Как утверждает исследователь, механизмы проверки APK не проводятся, что позволяет Xiaomi дистанционно и скрытно устанавливать на устройство любые приложения, загружая его на сервер под именем AnalyticsCore.apk.
Броеннинк так и не узнал предназначение программы. Информация о ней отсутствует в интернете, в том числе и на официальном сайте компании. Исследователи и простые пользователи могут лишь строить догадки об истинных мотивах Xiaomi. Кроме самой компании, использовать бэкдор могут киберпреступники или правительственные спецслужбы.
Так как AnalyticsCore получает обновления через незащищенный HTTP-протокол, хакеры могут провести атаку типа man-in-the-middle.
Пользователи могут защитить себя путем блокировки подключения к какому-либо домену, связанному с компанией.
