Xiaomi Mi4 vem com spyware e adware e um Android OS modificado, afirma Bluebox, Xiaomi refuta as acusações

Table Of Contents

• Xiaomi Mi4 LTE smartphone Android enviado com spyware/adware pré-instalado e um Android OS misto, o que representa um grande risco de segurança, diz a Bluebox, uma afirmação que a Xiaomi refuta veementemente
• Aplicativos detectados como malware encontrados na configuração padrão - Yt Service
• PhoneGuardService
• Versão do OS modificado vulnerável ao Masterkey, FakeID e Towelroot (Linux futex)

Xiaomi Mi4 LTE smartphone Android enviado com spyware/adware pré-instalado e um Android OS misto, o que representa um grande risco de segurança, diz a Bluebox, uma afirmação que a Xiaomi refuta veementemente

#Atualização: A Xiaomi entrou em contato conosco com sua versão e informou que a peça de amostra testada pela Bluebox não foi adquirida por canais oficiais da Xiaomi e pode ter sido adulterada por fornecedores de terceiros sem o conhecimento da Xiaomi. O mesmo também foi confirmado pela Bluebox por meio de uma atualização em sua postagem original

Ambas as declarações estão anexadas ao final do artigo.

A gigante da tecnologia chinesa Xiaomi tem se destacado como um dos principais vendedores de smartphones no mundo e atualmente é o 3º maior fabricante de smartphones. Seus smartphones são muito populares em países como Índia, China, etc. Sua última edição chamada smartphone Mi4 LTE já está vendo vendas de alta qualidade, com mais de 25.000 unidades esgotadas em apenas 15 segundos em uma venda relâmpago no varejista online Flipkart da Índia.

No entanto, nem tudo está bem com o smartphone Xiaomi Mi4 LTE, segundo pesquisadores de segurança da empresa de segurança de dados móveis, Bluebox.

Pesquisadores da Bluebox encontraram dois problemas de segurança muito críticos com o Xiaomi Mi4 LTE. Um deles são os aplicativos pré-instalados que estão carregados no Mi4, que a Bluebox afirma estar sendo sinalizados como malware. O outro problema é que o Mi4 possui um sistema operacional Android modificado, o que pode representar um enorme risco de segurança para os usuários.

Aplicativos detectados como malware encontrados na configuração padrão

Para pesquisar os problemas de segurança com o Xiaomi Mi4, os pesquisadores da Bluebox encomendaram um Mi4 diretamente da China. Investigações de primeira mão revelaram que a unidade que compraram veio pré-instalada com um conjunto de aplicativos arriscados, a maioria dos quais foi sinalizada como malware por softwares antivírus.

Yt Service

Yt Service é um desses aplicativos, que os pesquisadores da Bluebox descobriram ser particularmente perigosos. O Yt Service, cujo propósito é integrar um serviço de adware chamado DarthPusher, vem pré-carregado em todos os smartphones Xiaomi Mi4 LTE. O adware aparentemente inofensivo, que é usado para empurrar anúncios, dá a falsa impressão de que foi desenvolvido pelo Google. A Bluebox afirma que o pacote do desenvolvedor do Yt Service é nomeado “com.google.hfapservice.”, dando a impressão de que é um aplicativo legítimo desenvolvido pelo Google.

“Em outras palavras, engana os usuários fazendo-os acreditar que é um aplicativo ‘seguro’ aprovado pelo Google,” disse a Bluebox em uma postagem no blog na quinta-feira.

PhoneGuardService

Outro dos aplicativos suspeitos sinalizados por soluções antivírus como um Trojan, o PhoneGuardService, tem um nome que pode enganar os usuários. Ele é empacotado como com “egame.tonyCore.feicheng.” Além do PhoneGuardService, a Bluebox também encontrou outro aplicativo chamado SMSreg e um total de seis outros aplicativos que vêm pré-instalados no Xiaomi Mi4 LTE, mas têm comportamento semelhante a spyware e adware.

Versão do OS modificado vulnerável ao Masterkey, FakeID e Towelroot (Linux futex)

A Bluebox afirmou que descobriu que a versão do Android a bordo do Mi4 é uma espécie de mistura de Android Kitkat, Jellybean e até versões anteriores do Android. Os pesquisadores da Bluebox disseram que usaram o Trustable, sua ferramenta de avaliação de segurança móvel, que descobriu que o Mi4 LTE era vulnerável a uma série de falhas recentemente descobertas, como Masterkey, FakeID e Towelroot (Linux futex). Os pesquisadores da Bluebox afirmaram que o Mi4 foi vulnerável a todas as grandes falhas, exceto Heartbleed.

“Não apenas o dispositivo era vulnerável a todas as vulnerabilidades que escaneamos (exceto pelo Heartbleed, que era vulnerável apenas na versão 4.1.1), mas também estava com root e tinha o modo de depuração USB ativado sem o devido aviso para se comunicar com um computador conectado,” diz a postagem do blog.

Os pesquisadores disseram que o aplicativo “su” requer um provedor de segurança para ser usado no dispositivo (com.lbe.security.miui.su), então o uso de “su” é restrito de certa forma, no entanto, não deveria existir em uma versão de produção do Android, pois é uma porta de entrada para aplicativos e poderia ser aproveitado por criminosos cibernéticos para obter controle total sobre o dispositivo.

Para mostrar o exemplo modificado do Android, eles disseram que o ícone de depuração USB foi retirado do Jelly Bean (Android 4.1-4.3.1), enquanto outras vulnerabilidades descobertas por eles eram específicas para versões anteriores do Android e foram corrigidas no Kitkat.

No entanto, a Bluebox deixou claro que não sabia se o dispositivo que estavam testando era um protótipo de laboratório ou se era destinado a um lançamento para consumidores.

Propriedades de construção conflitantes [ro.build.version.release]: [4.4.4] Isso corresponde ao Android KitKat e API Level 19 [ro.build.version.sdk]: [17] O nível da API corresponde ao Android Jelly Bean 4.2 [ro.build.tags]: [test-keys] Isso geralmente é mostrado em versões de teste ou depuração de software, mas conflita com as tags na impressão digital do dispositivo [ro.build.fingerprint]: [Xiaomi/cancro/cancro:4.4.4/KTU84P/KXDCNBH25.0:user/release-keys]

Portanto, se você é um comprador ou já comprou o Xiaomi Mi4 LTE, observe esses fatos publicados pela Bluebox e tome as medidas necessárias para mitigar o problema. Para combater esse risco, funcionários e empresas precisam ter cuidado sobre como protegem dados (pessoais e corporativos) em seus dispositivos.

Uma das possíveis soluções seria fazer root completo no dispositivo e colocar seu próprio sistema operacional de escolha nele.

Kaylene Hong, Gerente de Comunicações da Xiaomi, entrou em contato conosco para este artigo. Aqui está o que ela tinha a dizer,

Em 5 de março de 2015, a Bluebox publicou um relatório inicial em seu site afirmando que um Mi 4 comprado na China vem pré-instalado com malware. Aqui está nossa resposta após uma investigação cuidadosa: RESUMO: - Xiaomi e Bluebox confirmaram que o dispositivo obtido pela Bluebox é um produto falsificado.
– Portanto, as descobertas relatadas pela Bluebox são imprecisas e não representam os telefones Mi.
– Sempre recomendamos que nossos usuários comprem telefones Mi apenas através de nossos canais oficiais, incluindo Mi.com e parceiros selecionados, como operadores móveis e varejistas autorizados.
– Todos os telefones Mi vendidos em todo o mundo são verificados para serem totalmente compatíveis com o Android. DETALHES: Concluímos nossa investigação sobre este tópico — o dispositivo obtido pela Bluebox é 100% comprovadamente um produto falsificado adquirido através de um canal não oficial nas ruas da China. Portanto, não é um produto original da Xiaomi e não está executando software oficial da Xiaomi, como a Bluebox também confirmou em sua postagem de blog atualizada. 1) Hardware: especialistas em hardware da Xiaomi analisaram as fotos internas do dispositivo fornecidas a nós pela Bluebox e confirmaram que o hardware físico é marcadamente diferente do nosso original Mi 4. 2) Número IMEI: a equipe de pós-venda da Xiaomi confirmou que o IMEI do dispositivo da Bluebox é um número IMEI clonado que foi usado anteriormente em outros dispositivos Xiaomi falsificados na China. 3) Software: a equipe do MIUI da Xiaomi confirmou que o software instalado no dispositivo da Bluebox não é uma versão oficial do MIUI da Xiaomi, pois nossos dispositivos não vêm com root e não têm malware pré-instalado. Como este dispositivo não é um produto original da Xiaomi e não está executando uma versão oficial do software MIUI da Xiaomi, as descobertas da Bluebox são completamente imprecisas e não representam os dispositivos da Xiaomi. Acreditamos que a Bluebox chegou a uma conclusão muito rapidamente sem uma investigação totalmente abrangente (por exemplo, eles não seguiram inicialmente nosso processo de verificação de hardware publicado corretamente devido à barreira do idioma) e suas tentativas de contatar a Xiaomi foram inadequadas, considerando a gravidade de suas acusações. Com o grande mercado paralelo de telefones móveis na China, existem produtos falsificados que são quase indistinguíveis por fora. Isso acontece em todas as marcas, afetando tanto empresas de smartphones chinesas quanto estrangeiras que vendem na China. Além disso, varejistas “empreendedores” podem adicionar malware e adware a esses dispositivos, e até mesmo ir ao ponto de pré-instalar cópias modificadas de softwares populares de benchmarking, como CPU-Z e Antutu, que executarão “testes” mostrando que o hardware é legítimo. A Xiaomi toma todas as medidas necessárias para combater os fabricantes de dispositivos falsificados ou qualquer um que altere nosso software, apoiada por todos os níveis das agências de aplicação da lei na China. Até agora, não recebemos relatos significativos de telefones Mi falsificados fora da China. No entanto, para dar aos nossos usuários internacionais tranquilidade, uma versão em inglês de nosso aplicativo de verificação (que certifica a autenticidade do hardware Mi) está em andamento. Como todas as outras marcas de eletrônicos de consumo, sempre recomendamos a compra de telefones Mi através de canais autorizados. A Xiaomi vende apenas através do Mi.com e um pequeno número de parceiros confiáveis da Xiaomi, incluindo operadores móveis e varejistas autorizados selecionados, como Flipkart na Índia e outros que serão anunciados no futuro. Além disso, ao contrário do que a Bluebox afirmou, o MIUI é Android verdadeiro, o que significa que o MIUI segue exatamente o CDD do Android, a definição do Google para dispositivos Android compatíveis, e passa todos os testes CTS do Android, o processo usado pela indústria para garantir que um determinado dispositivo seja totalmente compatível com o Android. Todos os dispositivos Xiaomi vendidos na China e em mercados internacionais são totalmente compatíveis com o Android. – Xiaomi Atualização: 8 de março de 2015
Andrew Blaich, Analista de Segurança Líder Após testes aprofundados, a Xiaomi afirmou que o dispositivo é falsificado e um muito bom, por sinal. Ele até derrotou seu aplicativo de verificação inicialmente. A conclusão foi alcançada após o envio de cerca de uma dúzia de fotografias de vários ângulos e áreas do dispositivo que foram então revisadas por uma equipe da Xiaomi. Eles também compararam várias das outras anomalias que os laboratórios da Bluebox notaram no relatório de descobertas original. O nível de detalhe que esse falsificado teve para parecer e agir como o verdadeiro foi realmente extraordinário. Ele tem as mesmas estruturas internas, bateria e rótulos nos componentes que são comumente usados por pessoas online para determinar a autenticidade de um dispositivo se não estiver ligado[6]. Até mesmo o aplicativo de Identificação Mi (AntiFake) que foi lançado pela Xiaomi para detectar esses tipos de situações nos disse que o dispositivo era genuíno. A quantidade de esforço que teve que ser feita para confirmar a autenticidade deste dispositivo vai muito além do que um consumidor normal pode ser esperado fazer para ter certeza de que sua compra é genuína. A versão do ROM MIUI carregada neste dispositivo teve algumas modificações feitas para até mesmo contornar as verificações de autenticação para o aplicativo AntiFake. Como os laboratórios da Bluebox mencionaram nas descobertas originais, há um diretório oculto no sdcard chamado .apk. É dentro deste diretório oculto que alguns APKs estão, como CPU-Z e também uma versão do aplicativo AntiFake. Se um usuário tentar instalar um aplicativo em seu telefone que corresponda a um desses pacotes, então o aplicativo no sdcard substitui o aplicativo real que o usuário tenta instalar. Este é um dos métodos que o ROM está usando para contornar o aplicativo de verificação. O processo pode ser contornado removendo a versão do APK no sdcard para o aplicativo que você deseja e, em seguida, substituindo-o pela versão real e, em seguida, instalando o aplicativo que você deseja novamente. Confirmamos isso instalando a versão mais recente do aplicativo AntiFake. Depois que conseguimos instalar a versão correta do aplicativo AntiFake em nosso dispositivo, pudemos validar a validade do dispositivo. O dispositivo agora relata como não legítimo, o que corrobora as descobertas da Xiaomi. Os laboratórios da Bluebox têm conversado com a equipe de segurança da Xiaomi. A equipe de segurança forneceu um feedback esclarecido que procuramos em nossa divulgação original sobre a postura de segurança do ROM MIUI que a Xiaomi envia com seus dispositivos. A equipe executou o Trustable da Bluebox no dispositivo e recebeu uma pontuação de 6.7, uma pontuação muito melhor do que a que a Bluebox encontrou com o ROM MIUI não padrão. Além disso, muitas das discrepâncias que encontramos no ROM supostamente foram resolvidas no ROM Mi que é enviado da fábrica. Enquanto estamos nos baseando na verificação da equipe de segurança da Xiaomi, os laboratórios da Bluebox estão aguardando a chegada de alguns dispositivos adicionais para realizar nossos próprios testes. As lições aprendidas nesta empreitada se resumem a: divulgação responsável, cadeia de suprimentos e ferramentas de autenticação. Primeiro, as empresas que recebem divulgações responsáveis precisam estar atentas a verificar as contas que configuraram para receber tais alertas e trabalhar com os pesquisadores de forma apropriada sobre suas descobertas. A Xiaomi nos assegurou que agora tomou as medidas necessárias para monitorar a conta mais de perto. A equipe de segurança da Xiaomi também tem sido excelente em nos fornecer acesso às informações que solicitamos para verificar nossas descobertas. Em segundo lugar, a cadeia de suprimentos é questionada. Se o dispositivo era falsificado ou não, o fato permanece que os consumidores estão comprando dispositivos que têm ROMs comprometidas (seja em hardware legítimo ou em hardware falsificado) que colocam seus dados em risco. Finalmente, as ferramentas de autenticação usadas para determinar a autenticidade de um dispositivo precisam ser drasticamente melhoradas, pois os fornecedores não terão tempo para receber e processar dezenas de fotos por dispositivo vendido para determinar a autenticidade de seus dispositivos ou a expertise técnica para contornar os truques no software.

Leia o artigo completo Malware-Ridden ‘Xiaomi’ Mi4 LTE testado pela Bluebox encontrado como falso.