На днях студент из Нидерландов Тайс Броенинк сделал заявление о том, что ему удалось обнаружить серьезную уязвимость в смартфонах Xiaomi. Речь идет о приложении AnalyticsCore, постоянно работающем в фоне.
В результате изучения принципа работы утилиты, исследователь обнаружил, что используя ее, Xiaomi может загрузить любой софт на смартфон, не запрашивая разрешения пользователя. Даже после принудительного удаления утилиты, она снова появляется на смартфоне и осуществляет проверку обновления каждые 24 часа без ведома пользователя. Кроме того, на сервис Xiaomi поступает вся информация с устройства. Исходя из этого, он сделал вывод, что Xiaomi может не только устанавливать приложения под видом AnalyticsCore, но и способна установить контроль над гаджетом, включая данные о IMEI девайса. Этой лазейкой вполне могут воспользоваться хакеры, ведь соединение с сервисом Xiaomi происходит при помощи незащищенного протокола, взломать который умельцам не составит труда.
Компания Xiaomi прокомментировала эту ситуацию и сообщила, что AnalyticsCore является встроенным компонентом оболочки MIUI и используется для анализа и совершенствования пользовательского опыта работы со смартфоном. Система обязательно проверяет подлинность скачиваемого файла с официального источника. Никакие другие утилиты не могут быть установлены как AnalyticsCore.