Xiaomi Mi4 поставляется с шпионским ПО и форкнутой ОС Android, утверждает Bluebox, Xiaomi опровергает обвинения

Table Of Contents

• Смартфон Xiaomi Mi4 LTE Android поставляется с предустановленным шпионским ПО/рекламным ПО и смешанной ОС Android, что представляет собой большой риск безопасности, утверждает Bluebox, с чем Xiaomi решительно не согласна
• Приложения, обнаруженные как вредоносные, найдены в стандартной конфигурации - Yt Service
• PhoneGuardService
• Форкнутая версия ОС уязвима для Masterkey, FakeID и Towelroot (Linux futex)

Смартфон Xiaomi Mi4 LTE Android поставляется с предустановленным шпионским ПО/рекламным ПО и смешанной ОС Android, что представляет собой большой риск безопасности, утверждает Bluebox, с чем Xiaomi решительно не согласна

#Обновление: Xiaomi связалась с нами и сообщила, что образец, протестированный Bluebox, не был приобретен через официальные каналы Xiaomi и мог быть подделан третьими сторонами без ведома Xiaomi. Это также было подтверждено Bluebox в обновлении их оригинального поста.

Обе их заявления приведены в конце статьи.

Китайская технологическая компания Xiaomi стабильно занимает одно из первых мест среди продавцов смартфонов в мире и в настоящее время является третьим по величине производителем смартфонов. Ее смартфоны очень популярны в таких странах, как Индия, Китай и т.д. Ее последняя модель, называемая Mi4 LTE, уже демонстрирует высокие продажи, с более чем 25,000 единиц, распроданных всего за 15 секунд на распродаже в индийском интернет-магазине Flipkart.

Однако не все так гладко с Xiaomi Mi4 LTE, по словам исследователей безопасности из компании Bluebox.

Исследователи Bluebox обнаружили две очень критические проблемы безопасности с Xiaomi Mi4 LTE. Одна из них - это предустановленные приложения, которые загружены на Mi4 и которые, по словам Bluebox, помечаются как вредоносные. Другая проблема заключается в том, что Mi4 использует форкнутую операционную систему Android, что может представлять собой огромный риск безопасности для пользователей.

Приложения, обнаруженные как вредоносные, найдены в стандартной конфигурации

Чтобы исследовать проблемы безопасности с Xiaomi Mi4, исследователи Bluebox заказали Mi4 непосредственно из Китая. Первоначальные расследования показали, что устройство, которое они купили, было предустановлено с набором рискованных приложений, большинство из которых были помечены как вредоносные антивирусным программным обеспечением.

Yt Service

Yt Service - одно из таких приложений, которое исследователи Bluebox нашли особенно опасным. Yt Service, цель которого - интегрировать рекламное ПО под названием DarthPusher, предустановлено во всех смартфонах Xiaomi Mi4 LTE. Неприметное рекламное ПО, которое используется для показа рекламы, создает ложное впечатление, что оно было разработано Google. Bluebox утверждает, что пакет разработчика Yt Service называется “com.google.hfapservice”, создавая впечатление, что это легитимное приложение, разработанное Google.

“Другими словами, оно обманывает пользователей, заставляя их верить, что это ‘безопасное’ приложение, проверенное Google,” - говорится в блоге Bluebox в четверг.

PhoneGuardService

Еще одно из подозрительных приложений, помеченных антивирусными решениями как троян, PhoneGuardService, имеет название, которое может ввести пользователей в заблуждение. Оно упаковано как com “egame.tonyCore.feicheng.” В дополнение к PhoneGuardService, Bluebox также обнаружил другое приложение под названием SMSreg и в общей сложности шесть других приложений, которые предустановлены на Xiaomi Mi4 LTE, но ведут себя аналогично шпионскому и рекламному ПО.

Форкнутая версия ОС уязвима для Masterkey, FakeID и Towelroot (Linux futex)

Bluebox сообщил, что они обнаружили, что версия Android на борту Mi4 является своего рода смесью Android Kitkat, Jellybean и даже более ранних версий Android. Исследователи Bluebox заявили, что они использовали Trustable, свой инструмент оценки мобильной безопасности, который обнаружил, что Mi4 LTE уязвим для множества недавно обнаруженных уязвимостей, таких как Masterkey, FakeID и Towelroot (Linux futex). Исследователи Bluebox заявили, что Mi4 был уязвим ко всем крупным уязвимостям, кроме Heartbleed.

“Устройство было уязвимо ко всем уязвимостям, которые мы сканируем (за исключением Heartbleed, который был уязвим только в 4.1.1), оно также было рутировано и имело включенный режим отладки USB без надлежащего запроса для связи с подключенным компьютером,” - говорится в их блоге.

Исследователи отметили, что приложение “su” требует наличия поставщика безопасности для использования на устройстве (com.lbe.security.miui.su), поэтому использование “su” в некотором смысле ограничено, однако оно не должно существовать в производственной сборке Android, так как это является шлюзом для приложений и может быть использовано киберпреступниками для получения полного контроля над устройством.

Чтобы продемонстрировать пример форкнутого Android, они отметили, что иконка отладки USB была взята из Jelly Bean (Android 4.1-4.3.1), в то время как другие уязвимости, обнаруженные ими, были специфичны для более ранних версий Android и были исправлены в Kitkat.

Тем не менее, Bluebox ясно дал понять, что они не знали, является ли устройство, которое они тестировали, лабораторным прототипом или предназначено для потребительского выпуска.

Конфликтующие свойства сборки [ro.build.version.release]: [4.4.4] Это соответствует Android KitKat и API Level 19 [ro.build.version.sdk]: [17] Уровень API соответствует Android Jelly Bean 4.2 [ro.build.tags]: [test-keys] Это обычно отображается на тестовых или отладочных сборках программного обеспечения, но конфликтует с тегами в отпечатке устройства [ro.build.fingerprint]: [Xiaomi/cancro/cancro:4.4.4/KTU84P/KXDCNBH25.0:user/release-keys]

Так что, если вы покупатель или уже купили Xiaomi Mi4 LTE, пожалуйста, обратите внимание на эти факты, опубликованные Bluebox, и примите необходимые меры для смягчения проблемы. Чтобы бороться с этим риском, сотрудникам и предприятиям необходимо быть осторожными в том, как они защищают данные (личные и корпоративные) на своих устройствах.

Одним из возможных решений было бы полностью рутировать устройство и установить свою собственную ОС.

Кейлин Хонг, менеджер по связям с общественностью Xiaomi, связалась с нами для этой статьи. Вот что она сказала,

5 марта 2015 года Bluebox опубликовал первоначальный отчет на своем сайте, утверждая, что Mi 4, купленный в Китае, поставляется с предустановленным вредоносным ПО. Вот наш ответ после тщательного расследования:РЕЗЮМЕ:- Xiaomi и Bluebox подтвердили, что устройство, полученное Bluebox, является поддельным продуктом.
– Сообщенные результаты Bluebox, следовательно, неточные и не представляют телефоны Mi.
– Мы всегда рекомендуем нашим пользователям покупать телефоны Mi только через наши официальные каналы, включая Mi.com и выбранных партнеров, таких как мобильные операторы и авторизованные ритейлеры.
– Все телефоны Mi, продаваемые по всему миру, проверены на полную совместимость с Android. ДЕТАЛИ:Мы завершили наше расследование по этой теме — устройство, полученное Bluebox, на 100% доказано как поддельный продукт, приобретенный через неофициальный канал на улицах Китая. Это, следовательно, не оригинальный продукт Xiaomi и не работает на официальном программном обеспечении Xiaomi, как также подтвердил Bluebox в своем обновленном блоге. 1) Аппаратное обеспечение: эксперты по аппаратному обеспечению Xiaomi изучили внутренние фотографии устройства, предоставленные нам Bluebox, и подтвердили, что физическое оборудование значительно отличается от нашего оригинального Mi 4. 2) IMEI номер: команда послепродажного обслуживания Xiaomi подтвердила, что IMEI на устройстве от Bluebox является клонированным IMEI номером, который ранее использовался на других поддельных устройствах Xiaomi в Китае. 3) Программное обеспечение: команда Xiaomi MIUI подтвердила, что программное обеспечение, установленное на устройстве от Bluebox, не является официальной сборкой MIUI от Xiaomi, так как наши устройства не поставляются с рутированием и не имеют предустановленного вредоносного ПО. Поскольку это устройство не является оригинальным продуктом Xiaomi и не работает на официальной сборке MIUI от Xiaomi, результаты Bluebox совершенно неточные и не представляют устройства Xiaomi. Мы считаем, что Bluebox слишком быстро пришел к выводу без полного и всестороннего расследования (например, они изначально не следовали нашему опубликованному процессу проверки аппаратного обеспечения должным образом из-за языкового барьера) и их попытки связаться с Xiaomi были недостаточными, учитывая серьезность их обвинений. С учетом большого параллельного уличного рынка мобильных телефонов в Китае существуют поддельные продукты, которые почти неотличимы снаружи. Это происходит со всеми брендами, затрагивая как китайские, так и иностранные компании, продающие в Китае. Более того, “предприимчивые” ритейлеры могут добавлять вредоносное и рекламное ПО на эти устройства и даже пойти на то, чтобы предустановить модифицированные копии популярных программ для тестирования, таких как CPU-Z и Antutu, которые будут проводить “тесты”, показывающие, что оборудование является легитимным. Xiaomi принимает все необходимые меры для борьбы с производителями поддельных устройств или любыми, кто вмешивается в наше программное обеспечение, поддерживаемые всеми уровнями правоохранительных органов в Китае. До сих пор мы не получали значительных сообщений о поддельных телефонах Mi за пределами Китая. Однако, чтобы дать нашим международным пользователям уверенность, английская версия нашего приложения проверки (которая сертифицирует подлинность аппаратного обеспечения Mi) находится в разработке. Как и все другие бренды потребительской электроники, мы всегда рекомендуем покупать телефоны Mi через авторизованные каналы. Xiaomi продает только через Mi.com и небольшое количество доверенных партнеров Xiaomi, включая мобильных операторов и выбранных авторизованных ритейлеров, таких как Flipkart в Индии и других, которые будут объявлены в будущем. Кроме того, в отличие от того, что утверждал Bluebox, MIUI является настоящим Android, что означает, что MIUI точно следует CDD Android, определению Google для совместимых устройств Android, и проходит все тесты CTS Android, процесс, используемый в отрасли для обеспечения полной совместимости устройства с Android. Все устройства Xiaomi, продаваемые в Китае и на международных рынках, полностью совместимы с Android. – Xiaomi Обновление: 8 марта 2015 года
Эндрю Блейх, ведущий аналитик безопасностиПосле глубокого тестирования Xiaomi заявила, что устройство является поддельным и очень хорошим. Оно даже первоначально обошло их приложение проверки. Заключение было сделано после отправки около дюжины фотографий с различных углов и областей устройства, которые затем были рассмотрены командой Xiaomi. Они также сравнили несколько других аномалий, которые отметили лаборатории Bluebox в оригинальном отчете о результатах. Уровень детализации, до которого этот подделка была сделана, чтобы выглядеть и вести себя как настоящая вещь, был довольно необычным. У него такие же внутренние структуры, батарея и ярлыки на компонентах, которые обычно используются людьми в Интернете для определения подлинности устройства, если оно не включено[6]. Даже приложение Mi Identification (AntiFake), выпущенное Xiaomi для обнаружения таких ситуаций, сообщило нам, что устройство является подлинным. Объем работы, который необходимо было сделать, чтобы подтвердить подлинность этого устройства, превышает то, что нормальный потребитель может ожидать, чтобы убедиться, что их покупка является подлинной. Версия ROM MIUI, загруженная на это устройство, была модифицирована, чтобы даже обойти проверки аутентификации для приложения AntiFake. Как упоминали лаборатории Bluebox в оригинальных находках, на sdcard есть скрытая директория под названием .apk. Именно в этой скрытой директории находятся некоторые APK, такие как CPU-Z и также версия приложения AntiFake. Если пользователь пытается установить приложение на своем телефоне, которое соответствует одному из этих пакетов, то приложение на sdcard заменяет реальное приложение, которое пользователь пытается установить. Это один из методов, который ROM использует для обхода приложения проверки. Процесс можно обойти, удалив версию APK на sdcard для приложения, которое вы хотите, а затем заменив его на реальную версию и снова установив нужное приложение. Мы подтвердили это, установив последнюю версию приложения AntiFake. После того, как мы установили правильную версию приложения AntiFake на нашем устройстве, мы смогли подтвердить подлинность устройства. Устройство теперь сообщает, что оно не легитимно, что подтверждает выводы Xiaomi. Лаборатории Bluebox общались с командой безопасности Xiaomi. Команда безопасности предоставила некоторые уточнения, которые мы искали в нашем первоначальном раскрытии по безопасности ROM MIUI, который Xiaomi поставляет с своими устройствами. Команда запустила Trustable от Bluebox на устройстве и получила оценку 6.7, что значительно лучше, чем то, что Bluebox нашел с нестандартным ROM MIUI. Кроме того, многие из несоответствий, которые мы нашли в ROM, якобы были разрешены в ROM Mi, который поставляется с завода. Хотя мы полагаемся на проверку от команды безопасности Xiaomi, лаборатории Bluebox ожидают поступления дополнительных устройств, чтобы провести собственное тестирование. Уроки, извлеченные из этого начинания, сводятся к: ответственному раскрытию, цепочке поставок и инструментам аутентификации. Во-первых, компании, получающие ответственное раскрытие, должны быть бдительными в проверке учетных записей, которые они настроили для получения таких уведомлений, и работать с исследователями над их находками. Xiaomi заверила нас, что они теперь предприняли необходимые шаги для более тщательного мониторинга учетной записи. Команда безопасности Xiaomi также была отличной в предоставлении нам доступа к информации, которую мы запрашивали для проверки наших находок. Во-вторых, цепочка поставок вызывает вопросы. Независимо от того, было ли устройство поддельным или нет, остается фактом, что потребители покупают устройства, на которых установлены скомпрометированные ROM (либо на легитимном оборудовании, либо на поддельном оборудовании), которые ставят их данные под угрозу. Наконец, инструменты аутентификации, используемые для определения подлинности устройства, необходимо значительно улучшить, так как поставщики не будут иметь времени для получения и обработки десятков фотографий на каждое проданное устройство, чтобы определить подлинность своих устройств или технической экспертизы, чтобы обойти уловки в программном обеспечении.

Читать полную статью Вредоносный ‘Xiaomi’ Mi4 LTE, протестированный Bluebox, оказался подделкой.