Xiaomi Mi4にはスパイアドウェアとフォークされたAndroid OSが搭載されているとBlueboxが主張、Xiaomiはその主張を否定

Table Of Contents

• Xiaomi Mi4 LTE Androidスマートフォンは、事前にインストールされたスパイウェア/アドウェアと混合されたAndroid OSを搭載しており、大きなセキュリティリスクがあるとBlueboxが述べており、Xiaomiはこの主張を強く否定
• デフォルト設定でマルウェアとして検出されたアプリ - Yt Service
• PhoneGuardService
• Masterkey、FakeID、Towelroot（Linux futex）に脆弱なフォークされたOSバージョン

Xiaomi Mi4 LTE Androidスマートフォンは、事前にインストールされたスパイウェア/アドウェアと混合されたAndroid OSを搭載しており、大きなセキュリティリスクがあるとBlueboxが述べており、Xiaomiはこの主張を強く否定

#Update: Xiaomiは私たちに彼らの見解を伝え、Blueboxがテストしたサンプルは公式のXiaomiチャネルから調達されておらず、Xiaomiの通知なしに第三者のベンダーによって改ざんされた可能性があると知らせました。同様のことがBlueboxによっても元の投稿の更新で確認されています。

両者の声明は記事の最後に添付されています。

中国のテクノロジー大手Xiaomiは、世界中でスマートフォンのトップセラーの一つとして着実に成長しており、現在はスマートフォンの主要な製造業者の3位です。インドや中国などの国々で非常に人気があります。最新のMi4 LTEスマートフォンは、インドのオンライン小売業者Flipkartでのフラッシュセールでわずか15秒で25,000台以上が売り切れるなど、すでに高品質な販売を見せています。

しかし、Xiaomi Mi4 LTEスマートフォンには問題があると、モバイルデータセキュリティ会社Blueboxのセキュリティ研究者が指摘しています。

Blueboxの研究者は、Xiaomi Mi4 LTEに非常に重要なセキュリティ問題が2つあることを発見しました。その一つは、Mi4にプリインストールされているアプリで、Blueboxによればマルウェアとしてフラグが立てられています。もう一つの問題は、Mi4がフォークされたAndroidオペレーティングシステムを搭載しており、ユーザーにとって大きなセキュリティリスクとなる可能性があることです。

デフォルト設定でマルウェアとして検出されたアプリ

Xiaomi Mi4のセキュリティ問題を調査するために、Blueboxの研究者は中国から直接Mi4を注文しました。最初の調査では、彼らが購入したユニットには、ほとんどがアンチウイルスソフトウェアによってマルウェアとしてフラグが立てられたリスクの高いアプリがプリインストールされていることが明らかになりました。

Yt Service

Yt Serviceは、Blueboxの研究者が特に危険であると見なしたアプリの一つです。Yt Serviceは、DarthPusherというアドウェアサービスを統合することを目的としており、すべてのXiaomi Mi4 LTEスマートフォンにプリロードされています。この無害に見えるアドウェアは、広告を押し上げるために使用され、Googleによって開発されたという誤った印象を与えます。Blueboxは、Yt Serviceの開発者パッケージが「com.google.hfapservice」と名付けられており、Googleによって開発された正当なアプリであるかのような印象を与えていると述べています。

「言い換えれば、これはユーザーを騙して、Googleによって審査された『安全な』アプリだと信じ込ませるものです」とBlueboxは木曜日のブログ投稿で述べました。

PhoneGuardService

アンチウイルスソリューションによってトロイの木馬としてフラグが立てられたもう一つの怪しいアプリ、PhoneGuardServiceは、ユーザーを欺く名前を持っています。これは「com “egame.tonyCore.feicheng.”としてパッケージ化されています。PhoneGuardServiceに加えて、BlueboxはSMSregという別のアプリと、Xiaomi Mi4 LTEにプリインストールされている他の6つのアプリも発見しましたが、これらはスパイウェアやアドウェアに似た動作をしています。

Masterkey、FakeID、Towelroot（Linux futex）に脆弱なフォークされたOSバージョン

Blueboxは、Mi4に搭載されているAndroidバージョンがAndroid Kitkat、Jellybean、さらにはそれ以前のAndroidバージョンの混合であることを発見したと述べています。Blueboxの研究者は、彼らのモバイルセキュリティ評価ツールTrustableを使用し、Mi4 LTEが最近発見されたMasterkey、FakeID、Towelroot（Linux futex）などの多数の脆弱性に対して脆弱であることを発見しました。Blueboxの研究者は、Mi4がHeartbleedを除くすべての大きな脆弱性に対して脆弱であると述べました。

「デバイスはスキャンしたすべての脆弱性に対して脆弱でした（Heartbleedは4.1.1でのみ脆弱でしたが）、また、ルート化されており、接続されたコンピュータと通信するための適切なプロンプトなしにUSBデバッグモードが有効になっていました」と彼らのブログ投稿には記載されています。

研究者は、「su」アプリケーションがデバイス上で使用されるためにセキュリティプロバイダーを必要とするため、「su」の使用はある程度制限されていますが、これはAndroidの製品リリースビルドには存在すべきではなく、アプリのゲートウェイであり、サイバー犯罪者がルートを利用してデバイスを完全に制御するために利用される可能性があります。

フォークされたAndroidの例を示すために、彼らはUSBデバッグアイコンがJelly Bean（Android 4.1-4.3.1）から取られたものであり、彼らが発見した他の脆弱性はAndroidの以前のバージョンに特有であり、Kitkatで修正されていると述べました。

しかし、Blueboxは、彼らがテストしていたデバイスがラボプロトタイプであるのか、消費者向けリリースを意図しているのかはわからないと明確にしました。

矛盾するビルドプロパティ [ro.build.version.release]: [4.4.4] これはAndroid KitKatおよびAPIレベル19に対応しています [ro.build.version.sdk]: [17] APIレベルはAndroid Jelly Bean 4.2に対応しています [ro.build.tags]: [test-keys] これは通常、ソフトウェアのテストまたはデバッグビルドに表示されますが、デバイスフィンガープリントのタグと矛盾しています [ro.build.fingerprint]: [Xiaomi/cancro/cancro:4.4.4/KTU84P/KXDCNBH25.0:user/release-keys]

したがって、Xiaomi Mi4 LTEを購入した方、またはすでに購入した方は、Blueboxが公開したこの事実に注意し、問題を軽減するための必要な措置を講じてください。このリスクに対抗するために、従業員や企業は、デバイス上のデータ（個人および企業）のセキュリティを確保する方法に注意する必要があります。

可能な解決策の一つは、デバイスを完全にルート化し、自分の選択したOSを搭載することです。

XiaomiのコミュニケーションマネージャーKaylene Hongがこの記事のために私たちに連絡を取りました。彼女のコメントは以下の通りです。

2015年3月5日、Blueboxは彼らのウェブサイトで、購入したMi 4が中国でマルウェアを事前にインストールされていると主張する初期レポートを公開しました。以下は、慎重な調査の結果に基づく私たちの回答です：要約：- XiaomiとBlueboxは、Blueboxが取得したデバイスが偽造品であることを確認しました。
– Blueboxの報告された発見はしたがって不正確であり、Mi電話を代表するものではありません。
– 私たちは常にユーザーに、Mi電話を公式チャネル（Mi.comやモバイルオペレーター、認定小売業者などの選択されたパートナー）を通じてのみ購入することを推奨しています。
– 世界中で販売されているすべてのMi電話は、完全にAndroid互換であることが確認されています。詳細：このトピックに関する調査を終了しました — Blueboxが取得したデバイスは、100%偽造品であり、中国の非公式チャネルで購入されたことが証明されています。したがって、これは元のXiaomi製品ではなく、公式のXiaomiソフトウェアを実行していません。Blueboxも更新されたブログ投稿で確認しています。 1) ハードウェア：Xiaomiのハードウェア専門家がBlueboxから提供された内部デバイスの写真を見て、物理的なハードウェアが元のMi 4とは著しく異なることを確認しました。 2) IMEI番号：Xiaomiのアフターセールスチームは、BlueboxのデバイスのIMEIが中国の他の偽造Xiaomiデバイスで以前に使用されていたクローンIMEI番号であることを確認しました。 3) ソフトウェア：Xiaomi MIUIチームは、Blueboxのデバイスにインストールされているソフトウェアが公式のXiaomi MIUIビルドではないことを確認しました。私たちのデバイスはルート化されておらず、事前にマルウェアがインストールされていません。このデバイスは元のXiaomi製品ではなく、公式のXiaomi MIUIソフトウェアビルドを実行していないため、Blueboxの発見は完全に不正確であり、Xiaomiデバイスを代表するものではありません。私たちは、Blueboxが完全な調査を行わずに早急に結論を出したと考えています（例えば、彼らは言語の壁のために、最初に公開されたハードウェア検証プロセスに従っていませんでした）し、彼らのXiaomiへの連絡は、彼らの告発の重大性を考慮すると不十分でした。中国の携帯電話の大規模な並行市場では、外見上ほとんど区別がつかない偽造品が存在します。これはすべてのブランドに当てはまり、中国と外国のスマートフォン企業が中国で販売する際に影響を受けます。さらに、「起業家」小売業者は、これらのデバイスにマルウェアやアドウェアを追加することがあり、CPU-ZやAntutuなどの人気のベンチマークソフトウェアの改造版を事前にインストールすることさえあります。これにより、ハードウェアが正当であることを示す「テスト」を実行します。Xiaomiは、偽造デバイスの製造業者やソフトウェアを改ざんする者に対して必要な措置を講じており、中国のすべての法執行機関の支援を受けています。私たちは、これまで中国以外での偽造Mi電話に関する有意義な報告を受けていません。しかし、国際的なユーザーに安心感を提供するために、Miハードウェアの真偽を確認するアプリの英語版が進行中です。他の消費者電子ブランドと同様に、私たちは常にMi電話を認定されたチャネルを通じて購入することを推奨しています。XiaomiはMi.comを通じてのみ販売し、モバイルオペレーターや選択された認定小売業者（インドのFlipkartなど）を含む少数の信頼できるパートナーを通じて販売します。さらに、Blueboxが主張したこととは対照的に、MIUIは真のAndroidであり、MIUIはAndroid CDD、Googleの互換性のあるAndroidデバイスの定義に正確に従い、すべてのAndroid CTSテストに合格しています。これは、特定のデバイスが完全にAndroid互換であることを確認するために業界で使用されるプロセスです。中国および国際市場で販売されているすべてのXiaomiデバイスは完全にAndroid互換です。– Xiaomi Update: 2015年3月8日
Andrew Blaich, リードセキュリティアナリスト
詳細なテストの結果、Xiaomiはデバイスが偽造品であり、非常に優れたものであると述べました。最初は彼らの検証アプリをも打ち破りました。この結論は、デバイスのさまざまな角度や領域の約12枚の写真を送信し、それをXiaomiのチームがレビューした後に導き出されました。彼らはまた、Bluebox Labsが元の発見報告で指摘した他のいくつかの異常を比較しました。この偽造品が本物に見え、行動するためにどれほどの詳細が必要だったかは非常に驚くべきものでした。電源が入っていない場合にデバイスの真偽を確認するためにオンラインで一般的に使用される内部構造、バッテリー、コンポーネントのラベルが同じでした[6]。Xiaomiがこのような状況を検出するためにリリースしたMi Identificationアプリ（AntiFake）でさえ、デバイスが本物であると私たちに伝えました。このデバイスの真偽を確認するために必要な努力は、通常の消費者が自分の購入が本物であることを確認するために期待される以上のものでした。このデバイスにロードされたMIUI ROMのバージョンには、AntiFakeアプリの認証チェックを回避するためにいくつかの修正が行われています。Bluebox Labsが元の発見で言及したように、sdcard上には隠しディレクトリ「.apk」があります。この隠しディレクトリ内には、CPU-ZやAntiFakeアプリのバージョンなどのいくつかのAPKが存在しています。ユーザーがこれらのパッケージのいずれかに対応するアプリを電話にインストールしようとすると、sdcard上のアプリがユーザーがインストールしようとする本物のアプリを置き換えます。これがROMが検証アプリを回避するために使用している一つの方法です。このプロセスは、インストールしたいアプリのsdcard上のAPKのバージョンを削除し、それを本物のバージョンに置き換えてから、再度インストールすることで回避できます。私たちは、最新のAntiFakeアプリをインストールすることでこれを確認しました。正しいバージョンのAntiFakeアプリをデバイスにインストールした後、デバイスの真偽を確認できました。デバイスは現在、正当ではないと報告されており、Xiaomiの発見を裏付けています。Bluebox LabsはXiaomiのセキュリティチームと話し合っています。セキュリティチームは、Xiaomiがデバイスに出荷するMIUI ROMのセキュリティ姿勢に関する元の開示で求めた情報を提供するのに優れた対応をしてくれました。チームはデバイス上でBlueboxのTrustableを実行し、スコア6.7を受け取りました。これは、Blueboxが非標準のMIUI ROMで見つけたものよりもはるかに良いスコアです。さらに、ROMで見つかった多くの不一致は、工場から出荷されるMi ROMで解決されているとされています。私たちはXiaomiのセキュリティチームからの検証に基づいていますが、Bluebox Labsは独自のテストを実施するために追加のデバイスが到着するのを待っています。この取り組みから得られた教訓は、責任ある開示、サプライチェーン、認証ツールに関するものです。まず、責任ある開示を受け取る企業は、そうした警告を受け取るために設定したアカウントを確認し、研究者と適切に連携してその発見について作業する必要があります。Xiaomiは、今後はアカウントをより注意深く監視するための必要な手段を講じたと私たちに保証しました。Xiaomiのセキュリティチームは、私たちが発見を確認するために要求した情報へのアクセスを提供するのに優れた対応をしてくれました。次に、サプライチェーンが問題にされます。デバイスが偽造品であったかどうかにかかわらず、消費者がデータを危険にさらす妥協されたROMを搭載したデバイスを購入しているという事実は変わりません。最後に、デバイスの真偽を確認するために使用される認証ツールは、大幅に改善される必要があります。サプライヤーは、デバイスの真偽を確認するために販売されたデバイスごとに数十枚の写真を受け取り、処理する時間がないため、ソフトウェアのトリックを回避するための技術的専門知識も持っていません。

Read the full article Malware-Ridden ‘Xiaomi’ Mi4 LTE tested by Bluebox found to be fake.