Представители китайской компании Xiaomi прокомментировали информацию о таинственном бэкдоре, обнаруженном в смартфоне Xiaomi Mi4.
Приложение AnalyticsCore.apk постоянно работает в фоновом режиме и восстанавливается после попытки удаления. Каждый раз, когда программа подключается к официальному серверу Xiaomi, она осуществляет передачу информации об устройстве, в том числе наименование модели, IMEI-идентификатор и MAC-адрес.
Студент из Нидерландов Тийс Броенинк, обнаруживший подозрительный файл, утверждает, что Xiaomi с его помощью может принудительно устанавливать на устройстве любые приложения и запускать их в фоновом режиме.
Пользователи обратили внимание на AnalyticsCore.apk в ноябре минувшего года, но сотрудники компании проигнорировали обсуждение данной проблемы на техническом форуме. После того, как о находке сообщил Броенинк, представители Xiaomi все же прокомментировали ситуацию.
В компании утверждают, что AnalyticsCore – это встроенный компонент MIUI-системы и применяется для анализа информации и ее передачи разработчикам для того, чтобы улучшать функционирование оболочки и впечатления пользователей о ее работе. Представители Xiaomi признали, что инсталляция обновлений на самом деле осуществляется, но устанавливаются лишь патчи, имеющие официальную цифровую подпись.
В Xiaomi подчеркивают, что установка apk под видом AnalyticsCore невозможна именно ввиду наличия механизма сверки цифровой подписи. В MIUI 7.3, которая была выпущена весной, была внедрена поддержка протокола HTTPS для того, чтобы обеспечить безопасную передачу информации и исключить вероятность атаки типа man-in-the-middle.
При этом представители Xiaomi отказались комментировать возможность принудительной инсталляции любого приложения со стороны корпорации.