LINUX.ORG.RU
ФорумTalks

Xiaomi - зонд, чуть более чем полностью

 , ,


1

1

Привет сообществу параноиков. Сейчас я Вам сообщу никому не интересную новость.
В общем жил-был один нидерландец. Жил спокойно, пока не узнал что Xiaomi может удаленно установить на любой смартфон собственного производства любое приложение. Это его слегонца начало припекать. Он даже немного поисследовал этот вопрос и спросил у Xiaomi чё почём (на сайте тех поддержки), но они его проигнорили.
На телефонах Xiaomi (т.к. говорим о телефонах собственно, поэтому это как минимум) присутствует странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне в режиме 24/7.
Имя героя собственно Тайс Броенинк. После того как ему припекло, он провел реверс-инжиниринг приложения и выяснил, что каждые 24 часа оно обменивается данными с официальными серверами компании. Каждый раз приложение отправляло данные об IMEI устройства, MAC-адрес, цифровые подписи и другую информацию. Если же на сервере присуствует обновление в виде Analytics.apk, оно будет автоматически устанавливаться на смартфон без какого-либо подтверждения со стороны пользователя. Тайс считает, что данное привелигерованное приложение от Xiaomi самостоятельно запускает установку в фоновом режиме игнорируя пользователя. Из этого он сделал вывод, что под видом Analytics.apk Xiaomi может подсунуть любой пакет и установить его принудительно в фоновом режиме.
Ну и кому сильно интересно - здесь немного подробнее.
А, ну и да, ваш телефон на андрюше от сансунг не имеет именно этого бэкдора. Да и вообще большей части ЛОРа «нечего скрывать». Спонсируем зонды дальше.

★★★★★
Я вляпался в js, подскажите лопату и редактор!
Посоветуйте хоррор

А если на Xiaomi уже Cyanogenmod, там тоже есть Analytics.apk? Сильны китайские спецслужбы...

Tigger ★★★★★
()

А что там с CyanogenMod? Что-то смутно помнится, там тоже вроде бы не все уже чисто.

praseodim ★★★★★
()
Ответ на: комментарий от anonymous00

Это не Xiaomi, а китайцы и прочие корейцы, которые по некоторым данным, по степени беспардонности всякого шпионства за пользователями еще и фору AHБ дадут. Одни Smart-TV чего стоят.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)

Xiaomi может удаленно установить на любой смартфон собственного производства любое приложение

Вот это да! Невероятно!

Так все равно же - прилетит новая прошивка, и там будет любое приложение, которое они захотят.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)

Сказал онанимус, написавший этот пост с устройства с проприетарным микрокодом CPU.

like-all ★★
()

AnalyticsCore.apk

А я его всегда удалял для экономии батарейки. Значит не только ради экономии батарейки.

Lavos ★★★★★
()

Будто Google Play Services этого не может. И, откровенно говоря, пофиг, по-прежнему использую Google Play.

DeadEye ★★★★★
()

А я предупреждал, что такое найдут :-)

Deleted
()
Ответ на: комментарий от djzielony

любое приложение может поставить опсос

каким образом?

teod0r ★★★★★
()

нидерландец

кстати так действительно правильно называть этническую нацию (самоназвание nederlander), несмотря на путаницу с dutch и hollander.

slon
()

Гугель может без ведома пользователя установить или удалить любое приложение.

AnalyticsCore.apk

Попробуйте угадать с трех раз, что означает слово Analytics и для чего это приложение нужно. А так же посмотрите одним глазом в лицензионное соглашение.

andreyu ★★★★★
()

Если же на сервере присуствует обновление в виде Analytics.apk, оно будет автоматически устанавливаться на смартфон без какого-либо подтверждения со стороны пользователя. ... под видом Analytics.apk Xiaomi может подсунуть любой пакет и установить его принудительно в фоновом режиме.

И что? В любой вашей системе с апдейтами может прийти всё что угодно тому кто эти апдейты вам предоставляет.

futurama ★★★★★
()

ARM-процессоры тоже наполнены зондами.

Deathstalker ★★★★★
()

А еще рута в dev ветке отобрали..

xtraeft ★★☆☆
()

Это у всех андроидофонов так. Сначала они ведут себя тихо, а через год-два после покупки, начинают ставить хлам, который спамит. Такова диспозиция, никакой новости тут нет. Я вот перешел на вендофон. Отдыхаю от рекламы.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 3)
Ответ на: комментарий от lenin386

собери сам

проще выпилить из готового, чем сношаться с этим самому

smilessss ★★★★★
()
Ответ на: комментарий от smilessss

Васян собирает, и его сборочка говорит, что FM радио у меня на телефоне нет, NFC тоже нет. Устанавливал когда-нить венду ? И не сообщала ли она тебе, что дисков у тебя нетути.

мы сейчас не про те сорцы

А про щто.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 1)

Если же на сервере присуствует обновление в виде Analytics.apk

Я его удалил и заново не поставилось, так что 4.2

Из этого он сделал вывод, что под видом Analytics.apk Xiaomi может подсунуть любой пакет

Xiaomi может подсунуть все что угодно с обновлением, как и гугл.

KillTheCat ★★★★★
()

да у него уже в самом arm куча закладок может быть, какие там apk?

Кстати что по этому поводу думает уважаемый рмс?)

smilessss ★★★★★
()
Ответ на: комментарий от Lavos

чот тоже не пойму, чем тебе васян не угодил.
по сути, любой разработчик опенсорца такой же васян. и любая сборка кастомная. так что либо уж собирать нормально, для себя, и самому быть васяном, либо взять готовую сборку от другого васяна.
просто самому собирать всегда интереснее.

Iron_Bug ★★★★★
()

Да, телефончики не для реакционерии

Ni2
()
Ответ на: комментарий от Lavos

Я и сборки linux от васянов (ubuntu, arch, ...) не перевариваю

А arch-то тебе чем не угодил?! Вполне самостоятельный дистр - сам в себе. А какие дистры у тебя считаются православными тогда?

Promusik ★★★★★
() автор топика
Ответ на: комментарий от Lavos

ну, тогда ты сам матёрый васян и тебе другие васяны и не нужны :)

Iron_Bug ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Я вляпался в js, подскажите лопату и редактор!
Talks
Посоветуйте хоррор