[IT뉴스] 샤오미, 백도어 논란 관련 공식 입장 내놓아

[IT뉴스] 샤오미, 백도어 논란 관련 공식 입장 내놓아

Note — Don't miss an important update at the bottom of this article, which includes an official statement from Xiaomi.

Do you own an Android Smartphone from Xiaomi, HTC, Samsung, or OnePlus?

If yes, then you must be aware that almost all smartphone manufacturers provide custom ROMs like CyanogenMod, Paranoid Android, MIUI and others with some pre-loaded themes and applications to increase the device's performance.

But do you have any idea about the pre-installed apps and services your manufacturer has installed on your device?, What are their purposes? And, Do they pose any threat to your security or privacy?

With the same curiosity to find answers to these questions, a Computer Science student and security enthusiast from Netherlands who own a Xiaomi Mi4 smartphone started an investigation to know the purpose of a mysterious pre-installed app, dubbed AnalyticsCore.apk, that runs 24x7 in the background and reappeared even if you delete it.

Xiaomi is one of the world's largest smartphone manufacturers, which has previously been criticized for spreading malware, shipping handsets with pre-loaded spyware/adware and forked version of Android OS, and secretly stealing users' data from the device without their permission.

Xiaomi Can Silently Install Any App On your Device

After asking about the purpose of AnalyticsCore app on company’s support forum and getting no response, Thijs Broenink reverse engineered the code and found that the app checks for a new update from the company's official server every 24 hours.

While making these requests, the app sends device identification information with it, including phone's IMEI, Model, MAC address, Nonce, Package name as well as signature.

If there is an updated app available on the server with the filename "Analytics.apk," it will automatically get downloaded and installed in the background without user interaction.

▲ 일부 내용. 해당 내용 번역 및 중요 내용

샤오미 대변인이 The Hacker News와 접촉하여 Thjis Broenink가 문제를 제기했던 해커뿐만 아니라 샤오미 스스로도 수 백만 대의 영향을 받는 기기에 비밀리에 아무 애플리케이션이나 설치할 수 있는 백도어에 대하여 공식 입장을 내놓았습니다. 그 내용은:

 

"AnalyticsCore는 MIUI 오류 분석(MIUI Error Analytics)과 같은 사용자 경험을 개선하기 위해 데이터를 분석할 목적으로 MIUI 컴포넌트들에서 사용되는 MIUI 시스템에 내장된 컴포넌트입니다."

 

회사측에서는 사용자 상호작용없이 백그라운드에서 아무 앱이나 설치할 수 있다는 능력에 대해서 부인하거나 어떠한 언급도 하지 않았으나, 대변인은 해커가 '자체 업그레이드'를 악용할 수 없을 것이라고 밝혔습니다.

 

"보안 수단으로 MIUI에서는 공식 및 올바른 서명을 가진 APK만 설치될 수 있도록 설치 또는 업그레이드 중에 Analytics.apk 앱의 서명을 검사합니다." 대변인이 덧붙였습니다.

 

"공식 서명이 없는 APK는 설치를 실패하게 됩니다. AnalyticsCore는 더 나은 사용자 경험을 보장하는 핵심으로 자체 업그레이드 기능이 있습니다. 4·5월에 공개된 MIUI V7.3부터 더 안전한 데이터 전송 및 중간자 공격을 방지하기 위해 HTTPS가 활성화되어 있습니다."

 

Hacker News에서는 사용자 상호없이 앱을 자동으로 설치하는 능력에 대해 샤오미측의 의견을 받기 위해 추가로 연락을 취하고 있다고 합니다.

* 출처 : The Hacker News