Xiaomi Mi4 arriva con spyware e adware e un sistema operativo Android forkato, afferma Bluebox, Xiaomi respinge le accuse

Table Of Contents

• Xiaomi Mi4 LTE smartphone Android spedito con spyware/adware preinstallato e un sistema operativo Android misto che rappresenta un grande rischio per la sicurezza, afferma Bluebox, una affermazione che Xiaomi respinge con forza
• App rilevate come malware trovate nella configurazione predefinita - Yt Service
• PhoneGuardService
• Versione forkata del sistema operativo vulnerabile a Masterkey, FakeID e Towelroot (Linux futex)

Xiaomi Mi4 LTE smartphone Android spedito con spyware/adware preinstallato e un sistema operativo Android misto che rappresenta un grande rischio per la sicurezza, afferma Bluebox, una affermazione che Xiaomi respinge con forza

#Aggiornamento: Xiaomi ci ha contattato con la loro versione e ci ha informato che il campione testato da Bluebox non è stato procurato attraverso canali ufficiali Xiaomi e potrebbe essere stato adulterato da fornitori terzi senza il consenso di Xiaomi. Lo stesso è stato confermato anche da Bluebox tramite un aggiornamento al loro post originale.

Entrambe le loro dichiarazioni sono allegate alla fine dell’articolo.

Il gigante tecnologico cinese Xiaomi è costantemente salito a essere uno dei principali venditori di smartphone a livello mondiale ed è attualmente il 3° principale produttore di smartphone. I suoi smartphone sono molto popolari in paesi come India, Cina, ecc. La sua ultima edizione chiamata smartphone Mi4 LTE sta già vedendo vendite di alta qualità con oltre 25.000 unità esaurite in soli 15 secondi in una vendita lampo sul rivenditore online indiano Flipkart.

Tuttavia, non tutto è roseo con lo smartphone Xiaomi Mi4 LTE, secondo i ricercatori di sicurezza della società di sicurezza dei dati mobili, Bluebox.

I ricercatori di Bluebox hanno trovato due problemi di sicurezza molto critici con Xiaomi Mi4 LTE. Uno di essi è rappresentato dalle app preinstallate che sono caricate sul Mi4 e che Bluebox afferma vengano segnalate come malware. L’altro problema è che Mi4 presenta un sistema operativo Android forkato che può rappresentare un enorme rischio per la sicurezza degli utenti.

App rilevate come malware trovate nella configurazione predefinita

Per ricercare i problemi di sicurezza con Xiaomi Mi4, i ricercatori di Bluebox hanno ordinato un Mi4 direttamente dalla Cina. Le indagini di prima mano hanno rivelato che l’unità acquistata era preinstallata con un insieme di app rischiose, la maggior parte delle quali è stata segnalata come malware da software antivirus.

Yt Service

Yt Service è una di queste app, che i ricercatori di Bluebox hanno trovato particolarmente pericolosa. Yt Service, il cui scopo è integrare un servizio di adware chiamato DarthPusher, è preinstallata in tutti gli smartphone Xiaomi Mi4 LTE. L’adware apparentemente innocuo, utilizzato per spingere annunci, dà una falsa impressione di essere stato sviluppato da Google. Bluebox afferma che il pacchetto sviluppatore di Yt Service è denominato “com.google.hfapservice.” dando l’impressione che sia un’app legittima sviluppata da Google.

“In altre parole, inganna gli utenti facendogli credere che sia un’app ‘sicura’ verificata da Google,” ha dichiarato Bluebox in un post sul blog giovedì.

PhoneGuardService

Un’altra delle app poco raccomandabili segnalate dalle soluzioni antivirus come un Trojan, PhoneGuardService, ha un nome che può ingannare gli utenti. È confezionata come com “egame.tonyCore.feicheng.” Oltre a PhoneGuardService, Bluebox ha anche trovato un’altra app chiamata SMSreg e un totale di sei altre app che vengono preinstallate su Xiaomi Mi4 LTE ma hanno un comportamento simile a spyware e adware.

Versione forkata del sistema operativo vulnerabile a Masterkey, FakeID e Towelroot (Linux futex)

Bluebox ha dichiarato di aver scoperto che la versione di Android a bordo del Mi4 è una sorta di miscela di Android Kitkat, Jellybean e persino versioni Android precedenti. I ricercatori di Bluebox hanno affermato di aver utilizzato Trustable, il loro strumento di valutazione della sicurezza mobile, che ha scoperto che il Mi4 LTE era vulnerabile a una serie di difetti recentemente scoperti come Masterkey, FakeID e Towelroot (Linux futex). I ricercatori di Bluebox hanno dichiarato che il Mi4 era vulnerabile a tutti i principali difetti tranne Heartbleed.

“Non solo il dispositivo era vulnerabile a ogni vulnerabilità che scansioniamo (eccetto Heartbleed che era vulnerabile solo in 4.1.1), ma era anche rootato e aveva la modalità di debug USB abilitata senza un adeguato avviso per comunicare con un computer connesso,” afferma il loro post sul blog.

I ricercatori hanno affermato che l’app “su” richiede un fornitore di sicurezza per essere utilizzata sul dispositivo (com.lbe.security.miui.su), quindi l’uso di “su” è in qualche modo limitato, tuttavia non dovrebbe esistere in una build di Android rilasciata in produzione, poiché è una porta per le app e potrebbe essere sfruttata dai criminali informatici per prendere il completo controllo del dispositivo.

Per mostrare l’esempio forkato di Android, hanno affermato che l’icona di debug USB è stata presa da Jelly Bean (Android 4.1-4.3.1) mentre altre vulnerabilità scoperte da loro erano specifiche per versioni precedenti di Android e sono state corrette in Kitkat.

Bluebox ha tuttavia chiarito che non sapevano se il dispositivo che stavano testando fosse un prototipo da laboratorio o se fosse destinato a un rilascio per i consumatori.

Proprietà di build in conflitto [ro.build.version.release]: [4.4.4] Questo corrisponde a Android KitKat e API Level 19 [ro.build.version.sdk]: [17] Il livello API corrisponde a Android Jelly Bean 4.2 [ro.build.tags]: [test-keys] Questo è solitamente mostrato su build di test o debug del software, ma confligge con i tag nell’impronta del dispositivo [ro.build.fingerprint]: [Xiaomi/cancro/cancro:4.4.4/KTU84P/KXDCNBH25.0:user/release-keys]

Quindi, se sei un acquirente o hai già acquistato lo Xiaomi Mi4 LTE, ti preghiamo di notare questi fatti pubblicati da Bluebox e di prendere le misure necessarie per mitigare il problema. Per combattere questo rischio, i dipendenti e le imprese devono prestare attenzione a come proteggono i dati (personali e aziendali) sui loro dispositivi.

Una delle possibili soluzioni sarebbe quella di rootare completamente il dispositivo e installare il proprio sistema operativo a scelta.

Kaylene Hong, Communications Manager di Xiaomi, ci ha contattato per questo articolo. Ecco cosa ha detto:

Il 5 marzo 2015, Bluebox ha pubblicato un rapporto iniziale sul loro sito web affermando che un Mi 4 acquistato in Cina arriva preinstallato con malware. Ecco la nostra risposta dopo un’attenta indagine: RIEPILOGO: - Xiaomi e Bluebox hanno confermato che il dispositivo ottenuto da Bluebox è un prodotto contraffatto.
– Le scoperte riportate da Bluebox sono quindi inaccurate e non rappresentative dei telefoni Mi.
– Raccomandiamo sempre ai nostri utenti di acquistare telefoni Mi solo attraverso i nostri canali ufficiali, inclusi Mi.com e partner selezionati come operatori mobili e rivenditori autorizzati.
– Tutti i telefoni Mi venduti in tutto il mondo sono verificati per essere completamente compatibili con Android. DETTAGLI: Abbiamo concluso la nostra indagine su questo argomento: il dispositivo ottenuto da Bluebox è stato provato al 100% essere un prodotto contraffatto acquistato attraverso un canale non ufficiale per le strade in Cina. Non è quindi un prodotto originale Xiaomi e non esegue software ufficiale Xiaomi, come confermato anche da Bluebox nel loro post aggiornato. 1) Hardware: gli esperti hardware di Xiaomi hanno esaminato le foto interne del dispositivo forniteci da Bluebox e hanno confermato che l’hardware fisico è notevolmente diverso dal nostro originale Mi 4. 2) Numero IMEI: il team post-vendita di Xiaomi ha confermato che l’IMEI sul dispositivo di Bluebox è un numero IMEI clonato che è stato precedentemente utilizzato su altri dispositivi Xiaomi contraffatti in Cina. 3) Software: il team MIUI di Xiaomi ha confermato che il software installato sul dispositivo di Bluebox non è una build ufficiale MIUI di Xiaomi poiché i nostri dispositivi non arrivano rootati e non hanno malware preinstallato. Poiché questo dispositivo non è un prodotto originale Xiaomi e non esegue una build software MIUI ufficiale di Xiaomi, le scoperte di Bluebox sono completamente inaccurate e non rappresentative dei dispositivi Xiaomi. Crediamo che Bluebox sia giunto a una conclusione troppo rapidamente senza un’indagine completamente esaustiva (ad esempio, non hanno inizialmente seguito correttamente il nostro processo di verifica hardware pubblicato a causa della barriera linguistica) e i loro tentativi di contattare Xiaomi sono stati inadeguati, considerando la gravità delle loro accuse. Con il grande mercato parallelo per i telefoni mobili in Cina, esistono prodotti contraffatti che sono quasi indistinguibili all’esterno. Questo accade in tutti i marchi, colpendo sia le aziende di smartphone cinesi che straniere che vendono in Cina. Inoltre, i rivenditori “imprenditoriali” possono aggiungere malware e adware a questi dispositivi e persino arrivare a preinstallare copie modificate di software di benchmarking popolari come CPU-Z e Antutu, che eseguiranno “test” mostrando che l’hardware è legittimo. Xiaomi adotta tutte le misure necessarie per combattere i produttori di dispositivi falsi o chiunque manometta il nostro software, supportati da tutti i livelli delle agenzie di enforcement della legge in Cina. Finora non abbiamo ricevuto segnalazioni significative di telefoni Mi contraffatti al di fuori della Cina. Tuttavia, per dare tranquillità ai nostri utenti internazionali, è in fase di sviluppo una versione in inglese della nostra app di verifica (che certifica l’autenticità dell’hardware Mi). Come tutti gli altri marchi di elettronica di consumo, raccomandiamo sempre di acquistare telefoni Mi attraverso canali autorizzati. Xiaomi vende solo tramite Mi.com e un numero ristretto di partner fidati di Xiaomi, inclusi operatori mobili e rivenditori autorizzati selezionati, come Flipkart in India e altri che saranno annunciati in futuro. Inoltre, contrariamente a quanto affermato da Bluebox, MIUI è un vero Android, il che significa che MIUI segue esattamente l’Android CDD, la definizione di Google per i dispositivi Android compatibili, e supera tutti i test Android CTS, il processo utilizzato dall’industria per assicurarsi che un dato dispositivo sia completamente compatibile con Android. Tutti i dispositivi Xiaomi venduti in Cina e nei mercati internazionali sono completamente compatibili con Android. – Xiaomi Aggiornamento: 8 marzo 2015
Andrew Blaich, Lead Security Analyst Dopo test approfonditi, Xiaomi ha dichiarato che il dispositivo è contraffatto e molto ben fatto. Ha persino superato inizialmente la loro app di verifica. La conclusione è stata raggiunta dopo aver inviato circa una dozzina di fotografie di vari angoli e aree del dispositivo che sono state poi esaminate da un team di Xiaomi. Hanno inoltre confrontato diverse delle altre anomalie che Bluebox Labs ha notato nel rapporto originale delle scoperte. Il livello di dettaglio a cui questa contraffazione è andata per sembrare e comportarsi come la cosa reale era piuttosto straordinario. Ha le stesse strutture interne, batteria e etichette sui componenti che vengono comunemente utilizzate dalle persone online per determinare l’autenticità di un dispositivo se non è acceso[6]. Anche l’app Mi Identification (AntiFake) rilasciata da Xiaomi per rilevare queste situazioni ci ha detto che il dispositivo era genuino. La quantità di sforzo necessaria per confermare l’autenticità di questo dispositivo va ben oltre ciò che un normale consumatore può essere in grado di fare per essere certo che il loro acquisto sia genuino. La versione della ROM MIUI caricata su questo dispositivo ha subito alcune modifiche per bypassare anche i controlli di autenticazione per l’app AntiFake. Come menzionato da Bluebox Labs nel rapporto originale delle scoperte, c’è una directory nascosta sulla sdcard chiamata .apk. È all’interno di questa directory nascosta che si trovano alcuni APK come CPU-Z e anche una versione dell’app AntiFake. Se un utente prova a installare un’app sul proprio telefono che corrisponde a uno di questi pacchetti, l’app sulla sdcard sostituisce l’app reale che l’utente sta tentando di installare. Questo è un metodo che la ROM sta utilizzando per bypassare l’app di verifica. Il processo può essere aggirato rimuovendo la versione dell’APK sulla sdcard per l’app che si desidera e poi sostituendola con la versione reale e quindi reinstallando l’app che si desidera. Abbiamo confermato questo installando l’ultima app AntiFake. Dopo aver installato la versione corretta dell’app AntiFake sul nostro dispositivo, abbiamo potuto convalidare la validità del dispositivo. Ora il dispositivo riporta come non legittimo, il che conferma le scoperte di Xiaomi. Bluebox Labs ha parlato con il team di sicurezza di Xiaomi. Il team di sicurezza ha fornito alcuni feedback chiarificatori che avevamo cercato nel nostro originale disclosure sulla postura di sicurezza della ROM MIUI che Xiaomi spedisce con i suoi dispositivi. Il team ha eseguito Trustable di Bluebox sul dispositivo e ha ricevuto un punteggio di 6.7, un punteggio molto migliore rispetto a quello trovato da Bluebox con la ROM MIUI non standard. Inoltre, molte delle discrepanze che abbiamo trovato nella ROM sono presumibilmente risolte nella ROM Mi che viene spedita dalla fabbrica. Mentre ci basiamo sulla verifica del team di sicurezza di Xiaomi, Bluebox Labs sta aspettando l’arrivo di alcuni dispositivi aggiuntivi per eseguire i propri test. Le lezioni apprese in questo sforzo si riducono a: divulgazione responsabile, catena di approvvigionamento e strumenti di autenticazione. In primo luogo, le aziende che ricevono divulgazioni responsabili devono essere vigili nel controllare gli account che hanno impostato per ricevere tali avvisi e lavorare con i ricercatori in modo appropriato riguardo alle loro scoperte. Xiaomi ci ha assicurato che ora hanno preso le misure necessarie per monitorare l’account più da vicino. Il team di sicurezza di Xiaomi è stato anche eccellente nel fornirci accesso alle informazioni che abbiamo richiesto per verificare le nostre scoperte. In secondo luogo, la catena di approvvigionamento è messa in discussione. Indipendentemente dal fatto che il dispositivo fosse contraffatto o meno, il fatto rimane che i consumatori stanno acquistando dispositivi che hanno ROM compromesse (sia su hardware legittimo che su hardware contraffatto) che mettono a rischio i loro dati. Infine, gli strumenti di autenticazione utilizzati per determinare l’autenticità di un dispositivo devono essere drasticamente migliorati poiché i fornitori non avranno il tempo di ricevere e elaborare dozzine di foto per dispositivo venduto per accertare l’autenticità dei loro dispositivi o l’expertise tecnica per eludere i trucchi nel software.

Leggi l’articolo completo Malware-Ridden ‘Xiaomi’ Mi4 LTE testato da Bluebox trovato essere falso.