Uma das coisas mais chatas que existem no mundo é descobrir backdoor e parece que um estudante de Ciência da Computação descobriu um backdoor que pode permitir a Xiaomi que envie qualquer app para instalação nos seus telefones.

Este estudante de nome Thijs Broenink analisou um dispositivo mobile da Xiaomi descobriu a presença de um backdoor que pode permitir que um atacante possa instalar silenciosamente qualquer app no smartphone.

O estudante decidiu investigar a presença de aplicativos e serviços pré-instalados na ROM usada por seu smarphone Xiaomi tentando descobrir seus propósitos.

No passado muitos já relataram a presença de aplicativos pré-instalados que podiam representar uma ameaça a segurança e privacidade dos usuários.

Em março de 2015 a empresa Bluebox descobriu um malware pré-instalado e outros problemas no dispositivo Xiaomi Mi 4 que davam a entender , pelos estudos a empresa de segurança, que houveram serviços adulterados por um terceiro não identificado ( sim, pode ser o governo chinês sim já que cybersegurança é algo bem desenvolvido por lá ).

E a coisa não pára por aí, pois os especialistas da empresa de segurança F-Secure que analisaram o Xiaomi Redmi 1S descobriram que o dispositivo estava mandando dados dos usuários para um servidor localizado na China ( será que é porque a Xiaomi … tem sede na China ? LOL ).

Mas voltando ao que estamos discutindo no momento, depois deste histórico, o estudante holandês acabou descobrindo um aplicativo pré-instalado bem misterioso, de nome AnalyticsCore.apk que executa 24 horas por dia 7 dias por semana sem parar e é bem difícil de ser removido.

O estudante decidiu perguntar sobre a presença do app AnalyticsCore no fórum de suporte da empresa e logicamente, não teve sucesso. Neste ponto, Broenink decidiu fazer uma engenharia reversa do código  e acabou descobrindo que ele procura atualizações a cada 24 horas no servidor da Xiaomi.

Apesar de fazer sentido alguns dos dados enviados eles são complexos pois incluem partes que podem trazer problemas ao usuário. Ou seja, dados como o IMEI, Modelo, Nonce, Package Name ( ou seja, nome do pacote ) e assinatura vão para os servidores da Xiaomi, na China, e não se sabe como são usados e ainda, se há uma segurança neste servidores bem implementada.

Se o aplicativo no servidor “Analytics.apk” é mais recente que o que está no smartphone ele irá baixar o mesmo automaticamente e instalá-lo em segundo plano sem a interação do usuário.

O mais complexo é que não há uma checagem pesada no arquivo e sua autenticidade. Ou seja, de acordo com o estudante e seu post no blog ele diz que se o app tiver o nome Analytics.apk qualquer app pode ser instalado no seu smartphone tanto pela Xiaomi quanto por alguém que tenha ganhado acesso indevido aquela estrutura na empresa.

Ou seja, o processo é extremamente falho. São duas pontas de falha que podem causar problemas ao usuário. Um meliante virtual pode entregar softwares que podem vir a causar problemas aos usuários e a própria Xiaomi pode entregar o software que ela quiser só renomeando para “Analytics.apk”.

Não foi possível descobrir o porque este programa AnalyticsCore existe mas, o estudante claramente o entendeu como um backdoor que abre os dispositivos Xiaomi para o ataque de governos, meliantes virtuais ou a própria empresa quando eles bem entenderem.

Este é um modus operandi comum de agências de inteligência que utilizam softwares deste tipo para entregar aplicativos que irão lhe monitorar tendo em vista que eles tem dados disponíveis como o IMEI e o modelo do seu dispositivo.

Isto gera um grande problema para qualquer indivíduo ao longo do mundo que para ser inimigo de um país basta que alguma pessoa que trabalhe nas estruturas governamentais não vá com a sua cara.

E isto preocupa em países como o nosso em que juíze se sentem no direito de passar por cima de nossas liberdades individuais, e o governo , em sua sede de arrecadação pode muito bem enviar aplicativos para ‘monitorar’ seu jeito de viver para bater com os registros de sua Receita Federal.

Resumo, é complexo e esperamos que a Xiaomi responda rapidamente já que ela não se deu ao trabalho de responder nenhum dos posts ainda no tópico criado em seu fórum de suporte.

Portanto, é indicado que se faça o bloqueio das conexões nos domínios relacionados a Xiaomi para evitar que algo possa acontecer.

Via Security Affairs