Xiaomi Mi4 viene con adware espía y un sistema operativo Android bifurcado, afirma Bluebox, Xiaomi refuta los cargos

Table Of Contents

• Xiaomi Mi4 LTE Android smartphone enviado con spyware/adware preinstalado y un sistema operativo Android mixto, lo que representa un gran riesgo de seguridad, dice Bluebox, una afirmación que Xiaomi refuta enérgicamente
• Aplicaciones detectadas como malware encontradas en la configuración predeterminada - Yt Service
• PhoneGuardService
• Versión de OS bifurcada vulnerable a Masterkey, FakeID y Towelroot (Linux futex)

Xiaomi Mi4 LTE Android smartphone enviado con spyware/adware preinstalado y un sistema operativo Android mixto, lo que representa un gran riesgo de seguridad, dice Bluebox, una afirmación que Xiaomi refuta enérgicamente

#Actualización: Xiaomi se ha puesto en contacto con nosotros con su versión e informó que la pieza de muestra probada por Bluebox no ha sido adquirida a través de canales oficiales de Xiaomi y puede haber sido adulterada por los proveedores de terceros sin el aviso de Xiaomi. Lo mismo también ha sido confirmado por Bluebox a través de una actualización a su publicación original.

Ambas declaraciones se adjuntan al final del artículo.

El gigante tecnológico chino Xiaomi ha ido ascendiendo constantemente para convertirse en uno de los principales vendedores de teléfonos inteligentes en todo el mundo y actualmente es el 3er mayor fabricante de teléfonos inteligentes. Sus teléfonos inteligentes son muy populares en países como India, China, etc. Su última edición llamada Mi4 LTE smartphone ya está viendo ventas de alta calidad con más de 25,000 unidades vendidas en solo 15 segundos en una venta flash en el minorista en línea de India, Flipkart.

Sin embargo, no todo es perfecto con el teléfono inteligente Xiaomi Mi4 LTE, según los investigadores de seguridad de la empresa de seguridad de datos móviles, Bluebox.

Los investigadores de Bluebox han encontrado dos problemas de seguridad muy críticos con el Xiaomi Mi4 LTE. Uno de ellos son las aplicaciones preinstaladas que están cargadas en el Mi4, que Bluebox dice que están siendo marcadas como malware. El otro problema es que el Mi4 cuenta con un sistema operativo Android bifurcado que puede ser un gran riesgo de seguridad para los usuarios.

Aplicaciones detectadas como malware encontradas en la configuración predeterminada

Para investigar los problemas de seguridad con el Xiaomi Mi4, los investigadores de Bluebox ordenaron un Mi4 directamente desde China. Las investigaciones de primera mano revelaron que la unidad que compraron venía preinstalada con un conjunto de aplicaciones arriesgadas, la mayoría de las cuales fueron marcadas como malware por el software antivirus.

Yt Service

Yt Service es una de esas aplicaciones, que los investigadores de Bluebox encontraron particularmente peligrosa. Yt Service, cuyo propósito es integrar un servicio de adware llamado DarthPusher, viene preinstalado en todos los teléfonos inteligentes Xiaomi Mi4 LTE. El adware aparentemente inofensivo que se utiliza para mostrar anuncios da una falsa impresión de que ha sido desarrollado por Google. Bluebox dice que el paquete del desarrollador de Yt Service está nombrado “com.google.hfapservice.” dando la impresión de que es una aplicación legítima desarrollada por Google.

“En otras palabras, engaña a los usuarios haciéndoles creer que es una aplicación ‘segura’ verificada por Google,” dijo Bluebox en una publicación de blog el jueves.

PhoneGuardService

Otra de las aplicaciones sospechosas marcadas por soluciones antivirus como un troyano, PhoneGuardService, tiene un nombre que puede engañar a los usuarios. Está empaquetada como com “egame.tonyCore.feicheng.” Además de PhoneGuardService, Bluebox también encontró otra aplicación llamada SMSreg y un total de seis aplicaciones más que vienen preinstaladas en el Xiaomi Mi4 LTE pero tienen un comportamiento similar al de un spyware y adware.

Versión de OS bifurcada vulnerable a Masterkey, FakeID y Towelroot (Linux futex)

Bluebox dijo que descubrieron que la versión de Android a bordo del Mi4 es una especie de mezcla de Android Kitkat, Jellybean e incluso versiones anteriores de Android. Los investigadores de Bluebox dijeron que utilizaron Trustable, su herramienta de evaluación de seguridad móvil, que descubrió que el Mi4 LTE era vulnerable a una serie de fallos recientemente descubiertos como Masterkey, FakeID y Towelroot (Linux futex). Los investigadores de Bluebox afirmaron que el Mi4 fue vulnerable a todos los grandes fallos excepto Heartbleed.

“No solo el dispositivo era vulnerable a todas las vulnerabilidades que escaneamos (excepto por Heartbleed que solo era vulnerable en 4.1.1), también estaba rooteado y tenía el modo de depuración USB habilitado sin la debida advertencia para comunicarse con una computadora conectada,” dice su publicación en el blog.

Los investigadores dijeron que la aplicación “su” requiere un proveedor de seguridad para ser utilizada en el dispositivo (com.lbe.security.miui.su), por lo que el uso de “su” está restringido en cierto sentido, sin embargo, no debería existir en una versión de producción lanzada de Android, ya que es una puerta de entrada para aplicaciones y podría ser aprovechada por criminales cibernéticos para tomar el control total del dispositivo.

Para mostrar el ejemplo bifurcado de Android, dijeron que el ícono de depuración USB fue tomado de Jelly Bean (Android 4.1-4.3.1) mientras que otras vulnerabilidades descubiertas por ellos eran específicas de versiones anteriores de Android y han sido corregidas en Kitkat.

Sin embargo, Bluebox dejó claro que no sabían si el dispositivo que estaban probando era un prototipo de laboratorio o si estaba destinado a un lanzamiento comercial.

Propiedades de construcción conflictivas [ro.build.version.release]: [4.4.4] Esto corresponde a Android KitKat y API Level 19 [ro.build.version.sdk]: [17] El nivel de API corresponde a Android Jelly Bean 4.2 [ro.build.tags]: [test-keys] Esto generalmente se muestra en versiones de prueba o depuración de software, pero entra en conflicto con las etiquetas en la huella digital del dispositivo [ro.build.fingerprint]: [Xiaomi/cancro/cancro:4.4.4/KTU84P/KXDCNBH25.0:user/release-keys]

Así que si eres un comprador o ya has comprado el Xiaomi Mi4 LTE, ten en cuenta estos hechos publicados por Bluebox y toma las medidas necesarias para mitigar el problema. Para combatir este riesgo, los empleados y las empresas deben tener cuidado sobre cómo aseguran los datos (personales y corporativos) en sus dispositivos.

Una de las posibles soluciones sería rootear completamente el dispositivo y poner tu propio sistema operativo a bordo.

Kaylene Hong, Gerente de Comunicaciones, Xiaomi se puso en contacto con nosotros para este artículo. Esto es lo que tenía que decir:

El 5 de marzo de 2015, Bluebox publicó un informe inicial en su sitio web afirmando que un Mi 4 comprado en China viene preinstalado con malware. Aquí está nuestra respuesta después de una cuidadosa investigación: RESUMEN: - Xiaomi y Bluebox han confirmado que el dispositivo que obtuvo Bluebox es un producto falso.
– Por lo tanto, los hallazgos reportados por Bluebox son inexactos y no representan a los teléfonos Mi.
– Siempre recomendamos a nuestros usuarios que compren teléfonos Mi solo a través de nuestros canales oficiales, incluyendo Mi.com y socios seleccionados como operadores móviles y minoristas autorizados.
– Todos los teléfonos Mi vendidos en todo el mundo están verificados para ser totalmente compatibles con Android. DETALLES: Hemos concluido nuestra investigación sobre este tema: el dispositivo que obtuvo Bluebox está 100% probado como un producto falso adquirido a través de un canal no oficial en las calles de China. Por lo tanto, no es un producto original de Xiaomi y no está ejecutando software oficial de Xiaomi, como también ha confirmado Bluebox en su publicación de blog actualizada. 1) Hardware: Los expertos en hardware de Xiaomi han revisado las fotos internas del dispositivo proporcionadas a nosotros por Bluebox y confirmaron que el hardware físico es notablemente diferente de nuestro original Mi 4. 2) Número IMEI: El equipo de postventa de Xiaomi ha confirmado que el IMEI en el dispositivo de Bluebox es un número IMEI clonado que ha sido utilizado previamente en otros dispositivos Xiaomi falsos en China. 3) Software: El equipo de MIUI de Xiaomi ha confirmado que el software instalado en el dispositivo de Bluebox no es una versión oficial de MIUI de Xiaomi, ya que nuestros dispositivos no vienen rooteados y no tienen malware preinstalado. Como este dispositivo no es un producto original de Xiaomi, y no está ejecutando una versión oficial de software MIUI de Xiaomi, los hallazgos de Bluebox son completamente inexactos y no representan a los dispositivos de Xiaomi. Creemos que Bluebox llegó a una conclusión demasiado rápido sin una investigación completamente exhaustiva (por ejemplo, no siguieron inicialmente nuestro proceso de verificación de hardware publicado correctamente debido a la barrera del idioma) y sus intentos de contactar a Xiaomi fueron inadecuados, considerando la gravedad de sus acusaciones. Con el gran mercado paralelo de teléfonos móviles en China, existen productos falsos que son casi indistinguibles por fuera. Esto sucede en todas las marcas, afectando tanto a empresas de teléfonos inteligentes chinas como extranjeras que venden en China. Además, los minoristas “emprendedores” pueden agregar malware y adware a estos dispositivos, e incluso llegar al extremo de preinstalar copias modificadas de software de benchmarking popular como CPU-Z y Antutu, que ejecutarán “pruebas” mostrando que el hardware es legítimo. Xiaomi toma todas las medidas necesarias para combatir a los fabricantes de dispositivos falsos o a cualquiera que manipule nuestro software, apoyados por todos los niveles de agencias de aplicación de la ley en China. Hasta ahora no hemos recibido informes significativos de teléfonos Mi falsos fuera de China. Sin embargo, para dar tranquilidad a nuestros usuarios internacionales, una versión en inglés de nuestra aplicación de verificación (que certifica la autenticidad del hardware de Mi) está en proceso. Al igual que todas las demás marcas de electrónica de consumo, siempre recomendamos comprar teléfonos Mi a través de canales autorizados. Xiaomi solo vende a través de Mi.com, y un pequeño número de socios de confianza de Xiaomi, incluidos operadores móviles y minoristas autorizados seleccionados, como Flipkart en India y otros que se anunciarán en el futuro. Además, contrariamente a lo que ha afirmado Bluebox, MIUI es verdadero Android, lo que significa que MIUI sigue exactamente el CDD de Android, la definición de Google para dispositivos Android compatibles, y pasa todas las pruebas CTS de Android, el proceso utilizado por la industria para asegurarse de que un dispositivo dado sea totalmente compatible con Android. Todos los dispositivos Xiaomi vendidos en China y en mercados internacionales son totalmente compatibles con Android. – Xiaomi Actualización: 8 de marzo de 2015
Andrew Blaich, Analista de Seguridad Principal
Después de pruebas exhaustivas, Xiaomi ha declarado que el dispositivo es falso y uno muy bueno en eso. Incluso derrotó inicialmente su aplicación de verificación. La conclusión se llegó después de enviar alrededor de una docena de fotografías de varios ángulos y áreas del dispositivo que luego fueron revisadas por un equipo de Xiaomi. Además, compararon varias de las otras anomalías que Bluebox Labs notó en el informe de hallazgos original. El nivel de detalle al que llegó este falso para parecerse y actuar como el real fue bastante extraordinario. Tiene las mismas estructuras internas, batería y etiquetas en los componentes que son comúnmente utilizados por las personas en línea para determinar la autenticidad de un dispositivo si no está encendido[6]. Incluso la aplicación de identificación Mi (AntiFake) que fue lanzada por Xiaomi para detectar este tipo de situaciones nos dijo que el dispositivo era genuino. La cantidad de esfuerzo que tuvo que hacerse para confirmar la autenticidad de este dispositivo va mucho más allá de lo que se espera que un consumidor normal haga para asegurarse de que su compra sea genuina. La versión del ROM de MIUI cargada en este dispositivo ha tenido algunas modificaciones para incluso eludir las verificaciones de autenticación para la aplicación AntiFake. Como mencionó Bluebox Labs en los hallazgos originales, hay un directorio oculto en la tarjeta SD llamado .apk. Es dentro de este directorio oculto donde algunos APKs están sentados como CPU-Z y también una versión de la aplicación AntiFake. Si un usuario intenta instalar una aplicación en su teléfono que corresponde a uno de estos paquetes, entonces la aplicación en la tarjeta SD reemplaza la aplicación real que el usuario intenta instalar. Este es un método que el ROM está utilizando para eludir la aplicación de verificación. El proceso se puede sortear eliminando la versión del APK en la tarjeta SD para la aplicación que deseas y luego reemplazándola con la versión real y luego instalando la aplicación que deseas nuevamente. Confirmamos esto al instalar la última aplicación AntiFake. Después de obtener la versión correcta de la aplicación AntiFake instalada en nuestro dispositivo, pudimos validar la validez del dispositivo. El dispositivo ahora informa como no legítimo, lo que corrobora los hallazgos de Xiaomi. Bluebox Labs ha estado hablando con el equipo de seguridad de Xiaomi. El equipo de seguridad proporcionó algunos comentarios aclaratorios que habíamos buscado en nuestra divulgación original sobre la postura de seguridad del ROM de MIUI que Xiaomi envía con sus dispositivos. El equipo ejecutó Trustable de Bluebox en el dispositivo y recibió una puntuación de 6.7, una puntuación mucho mejor que lo que Bluebox encontró con el ROM de MIUI no estándar. Además, muchas de las discrepancias que encontramos en el ROM supuestamente se resuelven en el ROM de Mi que se envía desde la fábrica. Mientras nos basamos en la verificación del equipo de seguridad de Xiaomi, Bluebox Labs está esperando que lleguen algunos dispositivos adicionales para llevar a cabo nuestras propias pruebas. Las lecciones aprendidas en este esfuerzo se reducen a: divulgación responsable, cadena de suministro y herramientas de autenticación. En primer lugar, las empresas que reciben divulgaciones responsables deben estar atentas a revisar las cuentas que han configurado para recibir tales alertas y trabajar con los investigadores de manera apropiada sobre sus hallazgos. Xiaomi nos ha asegurado que ahora han tomado las medidas necesarias para monitorear la cuenta más de cerca. El equipo de seguridad de Xiaomi también ha sido excelente al proporcionarnos acceso a la información que hemos solicitado para verificar nuestros hallazgos. En segundo lugar, se cuestiona la cadena de suministro. Ya sea que el dispositivo fuera falso o no, el hecho sigue siendo que los consumidores están comprando dispositivos que tienen ROM comprometidas (ya sea puestas en hardware legítimo o puestas en hardware falso) que ponen en riesgo sus datos. Finalmente, las herramientas de autenticación utilizadas para determinar la autenticidad de un dispositivo necesitan ser drásticamente mejoradas, ya que los proveedores no tendrán el tiempo para recibir y procesar docenas de fotos por dispositivo vendido para determinar la autenticidad de sus dispositivos o la experiencia técnica para eludir los trucos en el software.

Lee el artículo completo Malware-Ridden ‘Xiaomi’ Mi4 LTE probado por Bluebox encontrado como falso.