Xiaomi Mi4 kommt mit Spionage-Software und einer geforkten Android-OS, behauptet Bluebox, Xiaomi weist die Vorwürfe zurück

Table Of Contents

• Xiaomi Mi4 LTE Android-Smartphone wurde mit vorinstallierter Spyware/Adware und einem gemischten Android-OS ausgeliefert, was ein großes Sicherheitsrisiko darstellt, sagt Bluebox, eine Behauptung, die Xiaomi entschieden zurückweist
• Apps, die als Malware erkannt wurden, in der Standardkonfiguration gefunden - Yt Service
• PhoneGuardService
• Geforkte OS-Version anfällig für Masterkey, FakeID und Towelroot (Linux futex)

Xiaomi Mi4 LTE Android-Smartphone wurde mit vorinstallierter Spyware/Adware und einem gemischten Android-OS ausgeliefert, was ein großes Sicherheitsrisiko darstellt, sagt Bluebox, eine Behauptung, die Xiaomi entschieden zurückweist

#Update: Xiaomi hat sich mit ihrer Version an uns gewandt und uns informiert, dass das von Bluebox getestete Muster nicht über offizielle Xiaomi-Kanäle beschafft wurde und möglicherweise von Drittherstellern ohne Wissen von Xiaomi manipuliert wurde. Dies wurde auch von Bluebox in einem Update zu ihrem ursprünglichen Beitrag bestätigt.

Beide ihre Aussagen sind am Ende des Artikels angehängt.

Der chinesische Technologieriese Xiaomi hat sich stetig zu einem der größten Smartphone-Verkäufer weltweit entwickelt und ist derzeit der drittgrößte Hersteller von Smartphones. Seine Smartphones sind in Ländern wie Indien, China usw. sehr beliebt. Die neueste Ausgabe, das Mi4 LTE-Smartphone, verzeichnet bereits hochwertige Verkaufszahlen mit über 25.000 verkauften Einheiten in nur 15 Sekunden während eines Blitzverkaufs beim indischen Online-Händler Flipkart.

Allerdings ist nicht alles rosig mit dem Xiaomi Mi4 LTE-Smartphone, sagen Sicherheitsforscher des mobilen Datensicherheitsunternehmens Bluebox.

Die Forscher von Bluebox haben zwei sehr kritische Sicherheitsprobleme mit dem Xiaomi Mi4 LTE gefunden. Eines davon sind die vorinstallierten Apps, die auf dem Mi4 geladen sind und von Bluebox als Malware eingestuft werden. Das andere Problem ist, dass das Mi4 ein geforktes Android-Betriebssystem hat, was ein großes Sicherheitsrisiko für die Nutzer darstellen kann.

Apps, die als Malware erkannt wurden, in der Standardkonfiguration gefunden

Um die Sicherheitsprobleme mit dem Xiaomi Mi4 zu untersuchen, bestellten die Forscher von Bluebox ein Mi4 direkt aus China. Erste Untersuchungen ergaben, dass das Gerät, das sie kauften, mit einer Reihe riskanter Apps vorinstalliert war, von denen die meisten von Antivirensoftware als Malware eingestuft wurden.

Yt Service

Yt Service ist eine solche App, die von den Forschern von Bluebox als besonders gefährlich eingestuft wurde. Yt Service, dessen Zweck es ist, einen Adware-Dienst namens DarthPusher zu integrieren, wird in allen Xiaomi Mi4 LTE-Smartphones vorinstalliert. Die unauffällige Adware, die verwendet wird, um Werbung zu pushen, erweckt den falschen Eindruck, dass sie von Google entwickelt wurde. Bluebox sagt, dass das Entwicklerpaket von Yt Service den Namen „com.google.hfapservice“ trägt, was den Eindruck erweckt, dass es sich um eine legitime App handelt, die von Google entwickelt wurde.

„Mit anderen Worten, es täuscht die Nutzer, indem es ihnen glauben macht, es sei eine ‚sichere‘ App, die von Google geprüft wurde“, sagte Bluebox in einem Blogbeitrag am Donnerstag.

PhoneGuardService

Eine weitere der fragwürdigen Apps, die von Antivirensoftware als Trojaner eingestuft wurde, ist der PhoneGuardService, dessen Name die Nutzer täuschen kann. Er ist verpackt als com „egame.tonyCore.feicheng.“ Neben PhoneGuardService fand Bluebox auch eine andere App namens SMSreg und insgesamt sechs weitere Apps, die vorinstalliert auf dem Xiaomi Mi4 LTE sind, aber ein Verhalten ähnlich wie Spyware und Adware aufweisen.

Geforkte OS-Version anfällig für Masterkey, FakeID und Towelroot (Linux futex)

Bluebox sagte, dass sie herausfanden, dass die Android-Version auf dem Mi4 eine Art Mischung aus Android Kitkat, Jellybean und sogar früheren Android-Versionen ist. Die Forscher von Bluebox sagten, sie verwendeten Trustable, ihr mobiles Sicherheitsbewertungstool, das entdeckte, dass das Mi4 LTE anfällig für eine Reihe von kürzlich entdeckten Schwachstellen wie Masterkey, FakeID und Towelroot (Linux futex) war. Die Forscher von Bluebox erklärten, dass das Mi4 LTE für alle großen Schwachstellen anfällig war, mit Ausnahme von Heartbleed.

„Das Gerät war anfällig für jede Schwachstelle, nach der wir suchen (außer Heartbleed, das nur in 4.1.1 anfällig war), es war auch gerootet und hatte den USB-Debugging-Modus aktiviert, ohne ordnungsgemäße Aufforderung, um mit einem angeschlossenen Computer zu kommunizieren“, heißt es in ihrem Blogbeitrag.

Die Forscher sagten, dass die „su“-Anwendung einen Sicherheitsanbieter benötigt, um auf dem Gerät verwendet zu werden (com.lbe.security.miui.su), sodass die Verwendung von „su“ in gewissem Sinne eingeschränkt ist. Allerdings sollte es in einem Produktions-Build von Android nicht existieren, da es ein Gateway für Apps ist und von Cyberkriminellen ausgenutzt werden könnte, um die vollständige Kontrolle über das Gerät zu übernehmen.

Um das geforkte Beispiel von Android zu veranschaulichen, sagten sie, dass das USB-Debugging-Symbol aus Jelly Bean (Android 4.1-4.3.1) entnommen wurde, während andere von ihnen entdeckte Schwachstellen spezifisch für frühere Versionen von Android waren und in Kitkat behoben wurden.

Bluebox machte jedoch deutlich, dass sie nicht wussten, ob das Gerät, das sie testeten, ein Laborprototyp oder für den Verbraucher bestimmt war.

Widersprüchliche Build-Eigenschaften [ro.build.version.release]: [4.4.4] Dies entspricht Android KitKat und API Level 19 [ro.build.version.sdk]: [17] Das API-Level entspricht Android Jelly Bean 4.2 [ro.build.tags]: [test-keys] Dies wird normalerweise bei Test- oder Debug-Builds von Software angezeigt, steht jedoch im Widerspruch zu den Tags im Gerätefingerabdruck [ro.build.fingerprint]: [Xiaomi/cancro/cancro:4.4.4/KTU84P/KXDCNBH25.0:user/release-keys]

Wenn Sie also ein Käufer sind oder bereits das Xiaomi Mi4 LTE gekauft haben, beachten Sie bitte diese von Bluebox veröffentlichten Fakten und ergreifen Sie die notwendigen Maßnahmen zur Minderung des Problems. Um dieses Risiko zu bekämpfen, müssen Mitarbeiter und Unternehmen darauf achten, wie sie Daten (persönliche und Unternehmensdaten) auf ihren Geräten sichern.

Eine der möglichen Lösungen wäre, das Gerät vollständig zu rooten und Ihr eigenes OS darauf zu installieren.

Kaylene Hong, Kommunikationsmanagerin bei Xiaomi, hat sich für diesen Artikel an uns gewandt. Hier ist, was sie zu sagen hatte,

Am 5. März 2015 veröffentlichte Bluebox einen ersten Bericht auf ihrer Website, in dem behauptet wurde, dass ein in China gekauftes Mi 4 mit Malware vorinstalliert ist. Hier ist unsere Antwort nach sorgfältiger Untersuchung: ZUSAMMENFASSUNG: - Xiaomi und Bluebox haben bestätigt, dass das Gerät, das Bluebox erhalten hat, ein gefälschtes Produkt ist.
– Die von Bluebox berichteten Ergebnisse sind daher ungenau und nicht repräsentativ für Mi-Handys.
– Wir empfehlen unseren Nutzern immer, Mi-Handys nur über unsere offiziellen Kanäle zu kaufen, einschließlich Mi.com und ausgewählten Partnern wie Mobilfunkanbietern und autorisierten Einzelhändlern.
– Alle weltweit verkauften Mi-Handys sind als vollständig Android-kompatibel verifiziert. DETAILS: Wir haben unsere Untersuchung zu diesem Thema abgeschlossen – das Gerät, das Bluebox erhalten hat, ist zu 100 % als gefälschtes Produkt erwiesen, das über einen inoffiziellen Kanal auf den Straßen in China gekauft wurde. Es handelt sich daher nicht um ein originales Xiaomi-Produkt und es läuft nicht mit offizieller Xiaomi-Software, wie Bluebox auch in ihrem aktualisierten Blogbeitrag bestätigt hat. 1) Hardware: Xiaomi-Hardwareexperten haben die internen Gerätefotos, die uns von Bluebox zur Verfügung gestellt wurden, angesehen und bestätigt, dass die physische Hardware deutlich von unserem originalen Mi 4 abweicht. 2) IMEI-Nummer: Das Xiaomi-Nachverkaufsteam hat bestätigt, dass die IMEI auf dem Gerät von Bluebox eine geklonte IMEI-Nummer ist, die zuvor auf anderen gefälschten Xiaomi-Geräten in China verwendet wurde. 3) Software: Das Xiaomi MIUI-Team hat bestätigt, dass die auf dem Gerät von Bluebox installierte Software kein offizielles Xiaomi MIUI-Build ist, da unsere Geräte nicht gerootet sind und keine Malware vorinstalliert haben. Da dieses Gerät kein originales Xiaomi-Produkt ist und nicht mit einem offiziellen Xiaomi MIUI-Software-Build läuft, sind die Ergebnisse von Bluebox völlig ungenau und nicht repräsentativ für Xiaomi-Geräte. Wir glauben, dass Bluebox zu schnell zu einem Schluss gekommen ist, ohne eine umfassende Untersuchung durchzuführen (zum Beispiel haben sie unseren veröffentlichten Hardware-Verifizierungsprozess aufgrund von Sprachbarrieren nicht korrekt befolgt) und ihre Versuche, Xiaomi zu kontaktieren, waren unzureichend, angesichts der Schwere ihrer Anschuldigungen. Mit dem großen parallelen Straßenmarkt für Mobiltelefone in China gibt es gefälschte Produkte, die äußerlich kaum zu unterscheiden sind. Dies geschieht bei allen Marken und betrifft sowohl chinesische als auch ausländische Smartphone-Unternehmen, die in China verkaufen. Darüber hinaus können „unternehmerische“ Einzelhändler Malware und Adware zu diesen Geräten hinzufügen und sogar so weit gehen, modifizierte Kopien beliebter Benchmarking-Software wie CPU-Z und Antutu vorzuinstallieren, die „Tests“ durchführen, die zeigen, dass die Hardware legitim ist. Xiaomi ergreift alle notwendigen Maßnahmen, um gegen die Hersteller gefälschter Geräte oder gegen jeden, der unsere Software manipuliert, vorzugehen, unterstützt von allen Ebenen der Strafverfolgungsbehörden in China. Bisher haben wir keine bedeutenden Berichte über gefälschte Mi-Handys außerhalb Chinas erhalten. Um unseren internationalen Nutzern jedoch Sicherheit zu geben, wird eine englische Version unserer Verifizierungs-App (die die Authentizität von Mi-Hardware zertifiziert) in Arbeit sein. Wie alle anderen Marken für Unterhaltungselektronik empfehlen wir immer, Mi-Handys über autorisierte Kanäle zu kaufen. Xiaomi verkauft nur über Mi.com und eine kleine Anzahl von vertrauenswürdigen Xiaomi-Partnern, einschließlich Mobilfunkanbietern und ausgewählten autorisierten Einzelhändlern, wie Flipkart in Indien und anderen, die in Zukunft angekündigt werden. Darüber hinaus ist MIUI, entgegen der Behauptungen von Bluebox, echtes Android, was bedeutet, dass MIUI genau den Android CDD, Googles Definition für kompatible Android-Geräte, folgt und alle Android CTS-Tests besteht, den Prozess, der von der Branche verwendet wird, um sicherzustellen, dass ein bestimmtes Gerät vollständig Android-kompatibel ist. Alle Xiaomi-Geräte, die in China und internationalen Märkten verkauft werden, sind vollständig Android-kompatibel. – Xiaomi Update: 8. März 2015
Andrew Blaich, Lead Security Analyst Nach eingehenden Tests hat Xiaomi erklärt, dass das Gerät gefälscht ist und das sogar sehr gut. Es hat sogar zunächst ihre Verifizierungs-App überlistet. Das Ergebnis wurde erzielt, nachdem etwa ein Dutzend Fotos aus verschiedenen Blickwinkeln und Bereichen des Geräts gesendet wurden, die dann von einem Team bei Xiaomi überprüft wurden. Sie verglichen zudem mehrere der anderen Anomalien, die Bluebox Labs in dem ursprünglichen Ergebnisbericht festgestellt hatte. Der Grad an Detail, den diese Fälschung aufwies, um wie das Original auszusehen und zu funktionieren, war ziemlich außergewöhnlich. Es hat die gleichen internen Strukturen, Batterien und Etiketten auf den Komponenten, die häufig von Menschen online verwendet werden, um die Authentizität eines Geräts zu bestimmen, wenn es nicht eingeschaltet ist. Sogar die Mi-Identifikations-App (AntiFake), die von Xiaomi veröffentlicht wurde, um solche Situationen zu erkennen, sagte uns, dass das Gerät echt sei. Der Aufwand, der betrieben werden musste, um die Authentizität dieses Geräts zu bestätigen, geht weit über das hinaus, was ein normaler Verbraucher erwarten kann, um sicherzustellen, dass ihr Kauf echt ist. Die Version des MIUI-ROMs, die auf diesem Gerät geladen ist, hat einige Modifikationen erfahren, um sogar die Authentifizierungsprüfungen für die AntiFake-App zu umgehen. Wie Bluebox Labs in den ursprünglichen Ergebnissen erwähnte, gibt es ein verstecktes Verzeichnis auf der SD-Karte namens .apk. In diesem versteckten Verzeichnis sitzen einige APKs wie CPU-Z und auch eine Version der AntiFake-App. Wenn ein Benutzer versucht, eine App auf seinem Telefon zu installieren, die einem dieser Pakete entspricht, ersetzt die App auf der SD-Karte die echte App, die der Benutzer installieren möchte. Dies ist eine Methode, die das ROM verwendet, um die Verifizierungs-App zu umgehen. Der Prozess kann umgangen werden, indem die Version der APK auf der SD-Karte für die App, die Sie möchten, entfernt und dann durch die echte Version ersetzt wird, bevor die App, die Sie möchten, erneut installiert wird. Wir bestätigten dies, indem wir die neueste AntiFake-App installierten. Nachdem wir die richtige Version der AntiFake-App auf unserem Gerät installiert hatten, konnten wir die Gültigkeit des Geräts bestätigen. Das Gerät meldet jetzt, dass es nicht legitim ist, was die Ergebnisse von Xiaomi bestätigt. Bluebox Labs hat mit dem Sicherheitsteam von Xiaomi gesprochen. Das Sicherheitsteam hat uns einige klärende Rückmeldungen gegeben, die wir in unserer ursprünglichen Offenlegung zur Sicherheitslage des MIUI-ROMs, das Xiaomi mit seinen Geräten ausliefert, gesucht hatten. Das Team führte Trustable von Bluebox auf dem Gerät aus und erhielt eine Punktzahl von 6,7, eine viel bessere Punktzahl als das, was Bluebox mit dem nicht standardmäßigen MIUI-ROM fand. Darüber hinaus sollen viele der Diskrepanzen, die wir im ROM gefunden haben, im Mi-ROM, das ab Werk geliefert wird, behoben sein. Während wir uns auf die Verifizierung des Sicherheitsteams von Xiaomi verlassen, wartet Bluebox Labs auf einige zusätzliche Geräte, um unsere eigenen Tests durchzuführen. Die Lektionen, die aus diesem Vorhaben gelernt wurden, beziehen sich auf: verantwortungsvolle Offenlegung, Lieferkette und Authentifizierungstools. Erstens müssen Unternehmen, die verantwortungsvolle Offenlegungen erhalten, wachsam sein, um die Konten zu überprüfen, die sie für den Empfang solcher Warnungen eingerichtet haben, und angemessen mit Forschern über ihre Ergebnisse zu arbeiten. Xiaomi hat uns versichert, dass sie nun die notwendigen Schritte unternommen haben, um das Konto genauer zu überwachen. Das Xiaomi-Sicherheitsteam war auch ausgezeichnet darin, uns Zugang zu den Informationen zu gewähren, die wir angefordert haben, um unsere Ergebnisse zu verifizieren. Zweitens wird die Lieferkette in Frage gestellt. Ob das Gerät gefälscht war oder nicht, bleibt die Tatsache bestehen, dass Verbraucher Geräte kaufen, die kompromittierte ROMs (entweder auf legitimer Hardware oder auf gefälschter Hardware) haben, die ihre Daten gefährden. Schließlich müssen die Authentifizierungstools, die zur Bestimmung der Authentizität eines Geräts verwendet werden, drastisch verbessert werden, da Lieferanten nicht die Zeit haben werden, Dutzende von Fotos pro verkauftem Gerät zu erhalten und zu verarbeiten, um die Authentizität ihrer Geräte zu überprüfen oder die technische Expertise zu haben, um die Tricks in der Software zu umgehen.

Lesen Sie den vollständigen Artikel Malware-verseuchtes ‘Xiaomi’ Mi4 LTE, getestet von Bluebox, als gefälscht befunden.