Scandalo Xiaomi: la società cinese (e gli hacker) possono installare app senza il consenso dell’utente

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Una “tempesta perfetta” che rischia di abbattersi su Xiaomi: proprio durante le indiscrezioni sui nuovi smartphone che andranno a sostituire l’attuale serie di device, il sito di rumor e notizie sull’hacking e la sicurezza tecnologica The Hacker News ha riportato le scoperte di uno sviluppatore indipendente che avrebbe scoperto una gravissima falla nel sistema di sicurezza Xiaomi.

Non si tratta di una casualità nè di un errore di programmazione: facendo uso di un servizio nascosto denominato AnalyticsCore.apk la casa di produzione è in grado di aggiornare, sostituire o installare applicazioni senza che venga chiesto alcun consenso all’utente. Non solo: tale sistema sarebbe anche soggetto a gravi mancanze in termini di protezione dei dati, esponendo il processo di upgrading delle app ad attacchi Man-in-the-middle, capaci di sostituire il contenuto dell’azienda con software realizzati da hacker, con intenti tutt’altro che benevoli.

Siete pronti per scoprire tutto quello che occorre sapere sullo scandalo Xiaomi?

Xiaomigate: app che possono essere installate senza il consenso dell’utente

Forse non si tratta di uno Xiaomigate quello che The Hacker News starebbe per scatenare, ma sarebbe comunque l’ennesimo tassello di una serie di rivelazioni scottanti per la casa di produzione cinese che confermano la cattiva reputazione guadagnatasi negli ambienti della sicurezza informatica.

Xiaomi-mi4-malware-1
Un’immagine dello Xiaomi Mi4, da ArsTechnica

Nel 2014 infatti Xiaomi era stata diffidata dal governo indiano e taiwanese per via della presenza di un exploit che avrebbe permesso l’acquisizione dei dati di migliaia di utenti Xiaomi, i cui server allora erano stanziati in Cina (all’interno della capitale). Ma non soltanto: si scoprì infatti che Xiaomi inviava regolarmente le informazioni degli utenti – quali IMEI, numero di cellulare ed i messaggi di testo – ai server del governo cinese, era stata sorpresa a vendere modelli contenenti trojan e spyware mascherati da applicazioni preinstallate all’interno di una Custom ROM totalmente inaffidabile.

Insomma, la scoperta effettuata dal ricercatore Thijs Broenink non dovrebbe sorprendere gli utenti più informati: il giovane developer olandese avrebbe infatti posto sotto analisi il proprio smartphone, uno Xiaomi Mi4, ed i suoi servizi ed applicazioni bloatware alla ricerca di file o dati sospetti. L’esplorazione ha dato i suoi frutti: Thijs avrebbe infatti scoperto un servizio denominato AnalyticsCore.apk, attivo 24/7 persino in background ed in caso di arresto forzato.

Xiaomi-mi4-malware-2
Xiaomi non cura la sicurezza dei propri device?

Tale processo non soltanto invierebbe all’azienda dati personali come l’IMEI, il modello e l’indirizzo MAC, ma anche verificherebbe ogni 24 ore la presenza di un aggiornamento presso i server di Xiaomi. Normalmente non si tratterebbe di un servizio sospetto – ogni casa di produzione verifica la presenza di update delle proprie applicazioni – ma la mancanza di autorizzazione da parte dell’utente con la quale Xiaomi sarebbe solita procedere desta qualche dubbio.

La società può infatti aggiornare, installare o sostituire applicazioni senza che l’utente possa intervenire sul processo o quantomeno dare il proprio consenso; questo non soltanto scatena le prime voci su Xiaomi – la società non gode di buona fama – ma lascia aperta una porta ad hacker e file malevoli.

Batterie, sicurezza e risorse

L’intero processo di upgrading delle applicazioni avverrebbe tramite collegamenti HTTP presso e da i server Xiaomi, rendendoli quindi completamente vulnerabili ad un attacco hacker Man-in-the-middle da parte di hacker e sviluppatori malevoli.

Xiaomi-mi4-malware-3
Una backdoor che favorisce gli hacker

La tecnologia HTTP infatti non garantisce certificati di sicurezza e non dispone dunque di un servizio di convalida che permetta di dimostrare che il file inviato sia lo stesso che il telefono poi ha ricevuto, escludendo possibili scambi di materiale durante la fase di download attraverso una backdoor. Ma non solo: la presenza di un processo continuamente attivo ed alla ricerca, ogni 24 ore, di nuovi aggiornamenti lo rende una fonte inesauribile di consumo energetico, in quanto le risorse impegnate sono di gran lunga superiori a qualsiasi altra applicazione.

Xiaomi non ha ancora commentato o risposto allo sviluppatore olandese, che aveva precedentemente contattato l’azienda – nonostante la notizia circoli già da luglio.

Metti in sicurezza il tuo smartphone con QUESTI Saggi Consigli e suggerimenti per aumentare la privacy e la sicurezza interna, o con QUESTE Opzioni Sviluppatore che pochi conoscono!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//