Súlyos problémát fedeztek fel a Xiaomi mobiljain

Valószínűleg a legtöbben már okostelefont használnak, legalábbis van a családban valaki, aki már alkalmazások telepítésére képes eszközzel rendelkezik. No de milyen gyártótól származik a telefon? Samsung, HTC, OnePlus, Xiaomi, Oppo? Igazából teljesen lényegtelen, hiszen mindegyik vállalat módosít a gyári Android rendszeren, és saját felülettel látja el mobiljait.

Így jöhettek létre olyan egyedi szoftverek (ROM-ok), mint a CyanogenMod, a Paranoid Android, a MIUI, vagy éppen a VibeUI. Jellemzően mindegyik tartalmaz olyan alkalmazást, ami más gyártók készülékein nem található meg, pont azért, hogy ezzel valamilyen szinten növeljék a telefonok teljesítményét, legalábbis ezzel áltassák a felhasználókat.

De vajon hányan vannak tisztában azzal, hogy a mobilon milyen előre feltelepített applikációk vannak, és ezek mire használhatók, milyen biztonsági kockázatot rejtenek? Valószínűleg elég kevesen.

Egy hollandiai informatikushallgató komolyabban érdeklődött a téma iránt, és észrevette, hogy a birtokában lévő Xiaomi Mi4-en

Ez ezért is érdekes, mert a Xiaomit már többször megvádolták kártevők terjesztésével, illetve olyan programok telepítésével, amik a felhasználóról gyűjtenek információkat.

Bármikor települhet az alkalmazás

Miután Thijs Broenink a hivatalos fórumokon is érdeklődött az AnalyticsCore.apk iránt, és válaszra senki sem méltatta, vizsgálódott, majd rájött, hogy a program mindennap új frissítések után kutat a gyártó hivatalos weboldalán. Az információlekérésekkel egy időben

vagyis kvázi minden fontos adatot a telefonról.

Ha pedig valamilyen frissítést talált, akkor azt automatikusan letöltötte a háttérben, méghozzá a felhasználó tudta nélkül, az Analytics.apk-ra hivatkozva. Broenink egy blogbejegyzésben azt nyilatkozta, hogy „nem talált igazán terhelő bizonyítékot az Analytics appra nézve, szóval valamilyen magasabb prioritású, rendszerszintű applikáció végezheti a műveletet”.

Ennél nagyobb probléma, hogy az .apk fájl hitelességét egyáltalán nem ellenőrzi a mobil, vagyis

Ráadásként ezt maga a Xiaomi is ki tudja használni, hiszen Analytics.apk néven bármit fel tud telepíteni a telefonra.

Mit lehet tenni?

Nyilván ez a történet elég bosszantó, és a legtöbben szeretnének tenni ellene, mert egyrészt senkinek nincs köze a személyes adatokhoz, másrészt pedig senkinek nem jó, ha a készülékek összevissza telepítenek mindent, amikről azt sem tudjuk, hogy miért vannak fent.

Az egyetlen megoldás egyelőre az, hogy

amivel blokkolható a hozzáférés a Xiaomi kötelékébe tartozó domainekhez. Egyelőre még a Xiaomi nem adott ki hivatalos tájékoztatást, és erre a jövőben is elég kevés esély mutatkozik.