На прошлой неделе независимый голландский исследователь Тийс Броенинк (Thijs Broenink) рассказал о странном приложении AnalyticsCore.apk, которое обнаружил на своем смартфоне Xiaomi Mi4. Оказалось, что AnalyticsCore подозрительно напоминает бэкдор и может представлять опасность. Тогда исследователь не смог связаться с представителями компании и получить от них какие-либо комментарии, но теперь, спустя неделю, Xiaomi сами вышли на связь с прессой.
Журналисты издания The Hacker News сообщили, что после публикации материала об исследовании Броенинка с ними на связь вышли представители компании Xiaomi. В ответ на обвинения исследователя они ответили следующее:
«AnalyticsCore – это встроенный системный компонент MIUI, который используется другими компонентами MIUI для анализа данных, с целью улучшения механизмов взаимодействия с пользователем, к примеру, MIUI Error Analytics».
Тем не менее, представители компании практически никак не прокомментировали тот факт, AnalyticsCore может автоматически устанавливать на устройство любые приложения, без взаимодействия с пользователем. По мнению Xiaomi, хакеры не смогут использовать функцию автоматического самообновления AnalyticsCore во вред. И хотя исследователь утверждал, что AnalyticsCore никак не проверяет подлинность источника данных, а также сам загруженный файл, представители компании утверждают обратное.
«В качестве меры безопасности MIUI проверяет подпись Analytics.apk во время установки приложения или обновления, чтобы убедиться, что в систему будет установлено официальное и корректно подписанное APK. Любое APK, не имеющее официальной подписи, установлено не будет. Так как AnalyticsCore – это ключ к улучшению механизмов взаимодействия с пользователем, оно имеет функцию самообновления. Начиная с MIUI V7.3, вышедшей в апреле-мае 2016 года, для данной функции используется HTTPS, чтобы обезопасить передачу данных и предотвратить man-in-the-middle атаки».
