IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Автомобильные гаджеты, ремонт... [143]
    Безопасность IT [404]
    Блоки питания, Power Banks, зарядки... [508]
    Видеорегистраторы [186]
    Гаджеты для спорта и здоровья... [190]
    Гаджеты, аксессуары... [627]
    Измерительная техника, инструменты [437]
    Накопители данных [232]
    Нетбуки, Ноутбуки, Ультрабуки [689]
    Мультиварки, блендеры и не только... [162]
    Планшеты [764]
    Радар-детекторы [26]
    Роботы-пылесосы [37]
    Своими руками [360]
    Сети, сетевые технологии, оборудование... [273]
    Смартфоны [4959]
    Фотокамеры, объективы, искусство фотографии.. [541]
    Умный дом [50]
    Электронные книги [101]
    CB, LPD, PMR- связь... [170]
    DECT, IP-телефоны [18]
    Drones, boats, cars... [108]
    electric cars [35]
    GPS-навигаторы, трекеры... [51]
    Linux и не только [3981]
    mini computers и не только... [409]
    News IT, Это интересно, ликбез... [1120]
    Smart TV, UltraHD, приставки, проекторы... [415]
    Smart Watch [268]
    Sound: наушники, плееры, усилители... [618]
    Windows 10... [301]
    Windows 11 [37]
    Погода

  • Метеорадар БРЕСТ
  • Погода в Бресте от www.yr.no

    Яндекс.Погода БРЕСТ

  • Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1347
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 2
    Гостей: 2
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2016 » Сентябрь » 18 » Смартфоны Xiaomi подвержены серьезной уязвимости
    12:35
    Смартфоны Xiaomi подвержены серьезной уязвимости

    Смартфоны Xiaomi подвержены серьезной уязвимости

    Владимир Ухов

    Xiaomi Mi 5 Ceramic

    В этот раз речь пойдет не о взрывающемся Note 7. Сегодня мы рассмотрим сложившуюся ситуацию, связанную с Xiaomi, которая, по мнению студента и одновременно исследователя из Нидерландов, может стать серьезной проблемой в вопросе безопасности и защиты данных.

    Тийс Броенинк является владельцем смартфона Xiaomi Mi4, изучив его, он заметил одно странное приложение AnalyticsCore (com.miui.analytics), которое работало в фоновом режиме. После чего Тийс начал изучать активность приложения, которая его, мягко скажем, удивила.

    Для тестирования он скачал dex2jar и Java Decompiler, в котором запустил AnalyticsCore.apk. Первым делом Тийс решил поискать информацию о приложении на официальном форуме Xiaomi, где нашел лишь одну тему, которая осталась без ответа представителей компании. Другими словами, на просторах Интернета Броенинку не удалось найти предназначения приложения.

    В Java Decompiler ему удалось найти 3 основных класса, связанные с обновлением AnalyticsCore: c.class, e.class и f.class. В f.class осуществляется проверка обновления каждые 24 часа без ведома пользователя. Производится запрос по следующему адресу: http://sdkconfig.ad.xiaomi.com/api/checkupdate/lastusefulversion?. Класс отправляет на сервера Xiaomi информацию о смартфоне: IMEI, MAC-адрес, модель, Nonce и так далее.

    Xiaomi Mi 4

    После того как сервер получит необходимую информацию, смартфон может получить обновленный apk-файл. В классе e.class прописан код скачивания файла. Место, куда скачивается файл, описывается в классе f.class. Вопрос лишь в том, что производит непосредственную установку файла? В коде AnalyticsCore никаких данных найдено не было, поэтому Броенинк предположил, что речь идет скорее о приложении Xiaomi с более высоким приоритетом, которое производит непосредственную установку файла.

    В связи с этим возникают новые вопросы. Проверяет ли приложение скачиваемый файл? Если нет, получается, что Xiaomi может без вашего ведома установить любое приложение на ваш смартфон под видом AnalyticsCore.apk. При этом Xiaomi способна контролировать даже точечную установку на конкретное устройство благодаря наличию всех сведений, включая IMEI вашего устройства.

    Xiaomi Mi4

    В действительности же, позже ему подсказали, что установка производится в классе i.class, однако в нем нет никакого опровержения тому, что было сказано выше. Поэтому с полной уверенностью можно утверждать о том, что речь идет об уязвимости, ведь такой возможностью могут воспользоваться недоброжелатели.

    Однако у всех пользователей Xiaomi имеется возможность блокировать обмен данными с серверами Xiaomi. В AdAway следует прописать следующее (требуется наличие root-прав):

     

     
    # This hosts file contains exported entries from AdAway.
    127.0.0.1 micloud.xiaomi.net
    127.0.0.1 xiaomi.net
    127.0.0.1 account.xiaomi.com
    127.0.0.1 pdc.micloud.xiaomi.net
    127.0.0.1 wifiapi.micloud.xiaomi.net
    127.0.0.1 xiaomi.com
    127.0.0.1 contactapi.micloud.xiaomi.net

     

    Есть ли среди наших читателей владельцы смартфонов китайского гиганта? Как вы относитесь к данному открытию обычного студента из Нидерландов?

     

    По материалам thijsbroenink

     

    http://androidinsider.ru/polezno-znat/smartfonyi-xiaomi-podverzhenyi-sereznoy-uyazvimosti.html

    Категория: Смартфоны | Просмотров: 433 | Добавил: laptop | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Поиск
    Календарь
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2024