В сети разгорается скандальчик, связанный со смартфонами компании Xiaomi, каждую минуту бурление масс усиливается.
Если Вы владелец Ксаоми (Сяоми, Шаоми, Хаоми) и замечали за собой склонности к паранойе, вере в заговоры ZOG и других мировых нехороших корпораций или просто хотите спокойно спать, пожалуйста, покиньте эту страницу и поищите с интернете котиков или установите браузер Opera с VPN, чтобы иметь доступ к взрослому сайту, прикрытому на днях Роскомнадзором.
Так вот: один хуцкер исследователь компьютерной безопасности Тайс Брунинк (Thijs Broenink) купил себе мобилку от Ксаоми (Mi4) и начал тестить оболочку MIUI на тему багов и всяких там дырок, достаточно быстро докопался до заурядной программки AnalyticsCore.apk, которая висела в фоне и что там себе шуршала.
Наш герой её убивал, а она вела себя как птичка Феникс, т.е. воскресала и порхала. Взяв в руки лобзик Тайс выпилил её с корнями. Ха, а она всё равно появлялась, тогда голландский студент решил препарировать злостный самовостанавливающийся код с помощью декомпилятора дабы узнать секрет живучести и метаболизм сего организма. Результаты его потрясли, о чем он и растрепал всему свету. Оказывается утилитка по имени AnalyticsCore.apk является засланным казачком от китайских господ и каждый день сливает на чжунгоские сервера информацию о микроклимате смартфона: как зовут, номерок, чем дышит. За такой фигней уже ловили модемы и амплифайеры Xiaomi, но там вроде разобрались, что это существа слабоумные и обращаются к сиське Skynet Xiaomi с запросом об обновлениях. Короче, шеф все пропало если
разобраться, то ну и хрен с ним, отправляет малозначительные данные, да, если наступит звиздец и дежурный китаец нажмет на кнопку "关闭" и наши устройства превратятся в кирпичи, но порывшись в загашниках, мы достанем свои покрытые пылью Nokia 3310 и выйдем на связь с ГВК. Но вернемся в реальность: наш юный кулхацкер обнаружил еще одну тревожную деталь, что пакетики летят по протоколу HTTP, а в ответку принимаются не подписанные сертификатами куски кода (при наличии обновления новая версия AnalyticsCore.apk автоматически закачивается и устанавливается, при этом не происходит сверка сертификатов подлинности). В переводе на родной язык: есть большаягребаная дыра и если захотеть, то можно в космос полететь инсталировать на наши с Вами телефоны любые apk (андроидные программы). По умолчанию понятно, что такой гешефт имеют программисты Ксиаоми, а по факту и одаренные лица остро нуждающиеся в денежках.
разобраться, то ну и хрен с ним, отправляет малозначительные данные, да, если наступит звиздец и дежурный китаец нажмет на кнопку "关闭" и наши устройства превратятся в кирпичи, но порывшись в загашниках, мы достанем свои покрытые пылью Nokia 3310 и выйдем на связь с ГВК. Но вернемся в реальность: наш юный кулхацкер обнаружил еще одну тревожную деталь, что пакетики летят по протоколу HTTP, а в ответку принимаются не подписанные сертификатами куски кода (при наличии обновления новая версия AnalyticsCore.apk автоматически закачивается и устанавливается, при этом не происходит сверка сертификатов подлинности). В переводе на родной язык: есть большая
Например: Вы являетесь клиентом какого-нибудь банка: установив Вам каку, ребята могут обменяться в банком парой-тройкой смсок, которые поправят чьото материальное положение. Ну, конечно же не стоит паниковать, т.к. о дырке знают не так много плохих людей, а Шаоми дорожит репутацией и скоренько закроет брешь, но как говорится: осадочек останется....
Комментариев нет:
Отправить комментарий