Conecta con nosotros

Noticias

Xiaomi puede instalar aplicaciones por una puerta trasera en sus dispositivos

Publicado el

Xiaomi puede instalar aplicaciones por una puerta trasera en sus dispositivos

Xiaomi puede instalar aplicaciones por una puerta trasera en sus dispositivos

Un estudiante de Ciencias de la Computación y entusiasta de la seguridad neerlandés, Thijs Broenink, ha realizado una investigación sobre su Xiaomi Mi4, la cual empezó tras descubrir una misteriosa aplicación preinstalada llamada AnalyticsCore.apk. Dicha aplicación se ejecuta en segundo plano y reaparecía tras ser desinstalada.

MS Recomienda

Estudio sobre ciberseguridad en la empresa española ¡Participa en nuestra encuesta y gana!
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

No es la primera vez que Xiaomi se ve metida en un lío en temas de seguridad, ya que anteriormente se descubrió que la capa de personalización de Android que utiliza, MIUI, no se actualizaba utilizando un canal seguro. Por otro lado, ha sido acusada en más de una ocasión de distribuir malware y de recopilar datos sin consentimiento de los usuarios para luego almacenarlos en servidores ubicados en China.

Después de exponer la situación de AnalyticsCore.apk en los foros de Xiaomi, Thijs Broenink realizó una ingeniería inversa sobre esta, descubriendo que la aplicación realiza una comprobación por si hay una nueva versión disponible en los servidores de Xiaomi cada 24 horas. Mientras realiza la petición, AnalyticsCore.apk envía información identificativa del dispositivo, como el número de IMEI, modelo, dirección MAC, nonce (número criptográfico que solo se puede usar una vez), nombre del paquete y la firma. Si hay una actualización disponible en los servidores esta será descargada e instalada automáticamente en segundo plano, sin ninguna interacción con el usuario.

La cuestión ahora es si la aplicación es verificada de forma correcta para garantizar la seguridad y evitar su suplantación, algo que no se produce debido a que Thijs Broenink no ha encontrado ningún tipo de validación en el proceso de actualización, dejando así expuesto un agujero que puede ser explotado por hackers. Esto también significa que Xiaomi puede instalar de forma remota y silenciosa cualquier aplicación sobre sus dispositivos con tan solo renombrarla como AnalyticsCore.apk y almacenándola en sus propios servidores.

Esto supone la creación de una puerta trasera que puede ser explotada por cualquiera que tenga los conocimientos necesarios. Además, la conexión se realiza a través de HTTP y no HTTPS, abriendo la puerta a posibles ataques man-in-the-middle.

Muchos usuarios han mostrado su preocupación en los foros de Xiaomi por esta situación, no solo por el tema de los datos y la falta de seguridad en la conexión, sino también por otros apartados como el consumo de la batería.

Como medida de precaución, los usuarios de Xiaomi pueden bloquear todas las conexiones a los dominios del fabricante a través del uso de un firewall. Por otro lado, la compañía todavía no ha realizado o publicado ningún comunicado al respecto.

Fuente | The Hacker News

Lo más leído