可远程安装任意APP,小米手机藏后门?小米官方否认

2016-09-18 591025人围观 ,发现 41 个不明物体 终端安全资讯

手机制造商采用定制版Android系统是众所周知的事情,不仅如此,这些厂商还会在系统中预装一些定制的应用,比如音乐、时钟、短信等。这是Android手机厂商实现差异化竞争的一个方面。典型的比如国内的小米MIUI,就算得上针对Android系统的高度定制。

但是手机制造商将这些App和服务安装在你手机上是否也会有特别的目的?这些预装的应用又是否会威胁到机主的安全和隐私?

米1.jpg

国外媒体Hack News报道称,为了解开这些疑惑,来自荷兰的计算机系学生Thijs Broenink,调查研究了自己小米Mi4手机。他意外发现这款手机预装了名为AnalyticsCore.apk的应用。该应用在后台24 x 7小时持续运行,而且即便手动删除也还会再生。这就让人很好奇,AnalyticsCore.apk究竟是做什么用的。

小米是全球最大的手机运营商之一,但这已经不是国外媒体首次针对小米手机扩散恶意程序做出指控了:包括在未经用户许可的情况下窃取用户数据,MIUI系统中许多应用包含大量广告等。

小米可以在用户不知情的情况下安装任意APP

Broenink在小米论坛就AnalyticsCore.apk应用的问题发了帖子 ,在没有得到小米的任何回复。于是他自己对代码进行了逆向,发现该应用每24小时就会向小米官方服务器发送检查请求,查看服务器上是否有AnalyticsCore.apk的更新版本。

b_202914.jpg

在发送请求的同时,该应用还会将设备的标识信息一起发送过去,包括本机的唯一IMEI、型号、MAC地址、Nonce、 package名及签名。

如果小米服务器上有名为Analytics.apk的软件更新包,小米就会在神不知鬼不觉的情况下自动下载安装更新,用户完全不会察觉到。

Broenink在他的博客中写道:“我没能在这个应用内部发现什么证据,猜测有更高权限的小米App在后台进行更新安装。”

抛开AnalyticsCore.apk究竟是做什么的不谈,这种更新方式是否存在安全隐患也很值得探究。Broenink就发现,在应用的整个自动安装过程中,似乎不会对APK进行验证。这也就意味着,黑客也是可以利用这一过程的。

或者可以这么说,小米可以将任意App命名为”Analytics.apk”,然后放到服务器上,手机就会在后台自动下载安装这款应用。

Broenink说:“看起来,小米可以在24小时内将任意App安装到你的手机上。虽然具体的更新时间不能确定,但我很想知道,有没有可能尝试将用户自己的Analytics.apk安装包放在相应的目录下,观察它会在什么时候执行安装动作。”

黑客也可以利用这个漏洞

Broenink没能发现这款App的真正目的是什么,也就无从了解小米为什么要在自己上百万用户的设备里留下这个神秘的后门。

ddos-590x443.jpg

这样一来,任何情报机构的黑客只要发现了这个后门,就可以在短短24小时内将恶意软件安装在上百万的小米用户手机上。

更悲剧的是,升级过程是通过HTTP连接接收更新内容的,整个过程完全能用来进行中间人攻击。

Broenink认为“这是个很明显的弱点,因为入侵者已经获取了你的IMEI和手机型号,他们可以为你的手机安装特定的安装包。”

很多用户都在小米论坛上表达了对这个神秘安装包的存在和目的表示担忧。

其中一个用户留言:“它到底是做什么用的,每次删除之后还会再次出现。”

另一个用户说道:“我用第三方应用查看电量使用情况占比,这个应用总在最上面,我觉得它肯定吃了很多系统资源。”

那么如何屏蔽这样的秘密安装呢?权宜之计是利用防火墙屏蔽掉所有通向小米相关域名的连接。

小米官方声明:一切为了用户体验

一位来自小米的发言人联系到Hack News,并对Thijs Broenink提出的秘密后门问题发出了官方声明。声明中提道:

“AnalyticsCore是内建在MIUI系统中的组件,主要用来分析数据以增强用户体验,比如说MIUI Error Analytics——小米的系统错误分析功能。”

另外,小米还澄清道说这个功能绝不会被黑客利用。

xiaomi-miui7.jpg

“为了安全起见,MIUI会在软件的安装和升级期间检查Analytics.apk应用签名,以确保载入的是拥有正确签名的官方安卓软件包。”小米发言人补充道。

“没有官方签名的安卓安装包会被拒绝安装。我们的软件的自动升级功能都是为了更好的用户体验。在今年四月到五月期间发布的最新版本MIUI v7.3中,HTTPS协议能够有效地保障数据传输安全,避免中间人攻击。”

我们还会进一步关注小米未经用户同意就在后台自动下载App这一事件。

* 参考来源:TheHackerNews,本文由孙毛毛编译,转载请注明来自FreeBuf(Freebuf.COM)

相关推荐

这些评论亮了

  • testscc 回复
    今天上午十点左右,弹出了个通知消息 test ,手贱划了一下 找不到了,感觉很诡异 手机 小米4c,系统MIUI 7.5.4.0
    )86( 亮了
  • dosmlp 回复
    这算P,某次我在qq浏览器里点更新,下载完更新包安装时才发现变成了uc浏览器的安装包
    )25( 亮了
  • 向日葵 回复
    从4月一直收集到现在
    )22( 亮了
  • 马化腾 回复
    昨天看了原文,文中貌似没有提及可以被利用的事情(证书问题)。不知道到了国内怎么都成了可被利用的。
    It seems like there indeed is no validation on what APK is getting installed. So it looks like Xiaomi can replace any (signed?) package they want silently on your device within 24 hours. And I’m not sure when this AppInstaller gets called, but I wonder if it’s possible to place your own Analytics.apk inside the correct dir, and wait for it to get installed (edit: getExternalCacheDir() is inside the app’s sandbox, so probably not). But this sounds like a vulnerability to me anyhow, since they have your IMEI and Device Model, they can install any apk for your device specifically.
    https://www.thij亲爱的roenink.com/2016/09/xiaomis-analytics-app-reverse-engineered/
    )18( 亮了
发表评论

已有 41 条评论

取消
Loading...

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php