В смартфонах Xiaomi найдена критическая уязвимость

Студент Нидерландского университета Тайс Броенинк обнаружил в своем смартфоне от Xiaomi уязвимость, которая позволяет злоумышленникам незаметно установить на устройство любое приложение.

Броенинк обнаружил в своем смартфоне приложение AnalyticsCore, которое работало 24 часа в сутки, и которое невозможно было удалить со смартфона. Изучив программный код приложения, Броенинк установил, что оно каждые 24 часа проверяет наличие обновлений на серверах Xiaomi. Оно отправляет данные идентификации устройства, включая модель, IMEI, MAC-адрес, Nonce, имя пакета, а также подпись. Если оно находит на сервере компании новый APK-файл с названием "Analytics.apk", то скачивает и устанавливает их без ведома пользователя.

Студент обнаружил, что процесс обновления на устройствах Xiaomi происходит без подтверждения правильности загружаемых файлов, а это значит, что злоумышленники могут перехватывать сигнал и отправлять на устройство зараженные приложения. Более того, сама компания Xiaomi может установить на любое свое устройство приложение, выдав его за Analytics.apk, а пользователь даже ничего не будет знать об этом.

Ранее компания Opera объявила о том, что сервис синхронизации ее браузера был взломан хакерами. По сведениям компании, пароли от аккаунтов Opera остались в безопасности, но в руках у злоумышленников оказались логины.