Der große chinesische Smartphone-Hersteller Xiaomi liefert seine Android-Geräte offensichtlich mit einer Backdoor aus, die es ihm ermöglicht, jederzeit beliebige Software auf den Mobiltelefonen seiner Kunden zu installieren. Damit gerät das Unternehmen einmal mehr in den Focus der Security-Szene. Xiaomi gehört zu den größten Smartphone-Herstellern der Welt und findet auch in den westlichen Ländern zunehmend Beachtung. Auch ein Informatik-Student aus den Niederlanden, Thijs Broenink, entschied sich für den Kauf eines Smartphones des Unternehmens. Als er einen genaueren Blick auf die Vorgänge in seinem Xiaomi Mi4 warf, entdeckte er einen Prozess, der vom AnalyticsCore.apk angestoßen wurde und rund um die Uhr im Hintergrund lief. Versuche, diesen zu beenden und auch das Löschen des Paketes bewirkten gar nichts. Die Anwendung tauchte plötzlich wieder auf und setzte ihre Arbeit fort, heißt es in einem Bericht von HackerNews.
Nachfragen im Support-Forum des Herstellers führten zu keinem Ergebnis. Die Nachfragen wurden schlicht ignoriert. Broenink begann daraufhin AnalyticsCore per Reverse Engineering zu analysieren und fand unter anderem heraus, dass die Anwendung mindestens alle 24 Stunden einen Xiaomi-Server kontaktiert und prüft, ob dort aktuellere Programmversionen vorliegen. Wird eine Analytics.apk gefunden, lädt das Tool diese herunter und installiert sie. Dies entspricht im Grunde einem relativ normalen Update-Prozess.
Allerdings hat in diesem Fall der Nutzer keine Chance einzugreifen. Download und Installation erfolgen komplett im Hintergrund und anschließend nimmt die neue Software ihren Betrieb auf. Die Nutzer von Xiaomi-Smartphones haben also keine Möglichkeit, zu unterbinden, dass der Hersteller Code seiner Wahl auf ihr Mobiltelefon bringt und diesen ausführt.
Verschärft wird das Problem dadurch, dass keinerlei Prüfung des heruntergeladenen APK erfolgt. So wäre es auch Angreifern möglich, mit einer Man-in-the-Middle-Attacke oder durch das Eindringen in den fraglichen Xiaomi-Server beliebige Malware auf eine große Zahl von Android-Geräten zu schleusen, ohne, dass sich die Nutzer dagegen wehren können.
Bei Xiaomi kann auch genau Buch darüber geführt werden, wie viele und welche Mobiltelefone jeweils versorgt worden sind. Der Prozess übermittelt dafür beim Download einer Software jeweils die IMEI-Nummer, das Gerätemodell, die MAC-Adresse und einige weitere Informationen an das Unternehmen.
Quelle: Smartphones von Xiaomi kommen mit nicht abschaltbarer Backdoor
Nachfragen im Support-Forum des Herstellers führten zu keinem Ergebnis. Die Nachfragen wurden schlicht ignoriert. Broenink begann daraufhin AnalyticsCore per Reverse Engineering zu analysieren und fand unter anderem heraus, dass die Anwendung mindestens alle 24 Stunden einen Xiaomi-Server kontaktiert und prüft, ob dort aktuellere Programmversionen vorliegen. Wird eine Analytics.apk gefunden, lädt das Tool diese herunter und installiert sie. Dies entspricht im Grunde einem relativ normalen Update-Prozess.
Allerdings hat in diesem Fall der Nutzer keine Chance einzugreifen. Download und Installation erfolgen komplett im Hintergrund und anschließend nimmt die neue Software ihren Betrieb auf. Die Nutzer von Xiaomi-Smartphones haben also keine Möglichkeit, zu unterbinden, dass der Hersteller Code seiner Wahl auf ihr Mobiltelefon bringt und diesen ausführt.
Verschärft wird das Problem dadurch, dass keinerlei Prüfung des heruntergeladenen APK erfolgt. So wäre es auch Angreifern möglich, mit einer Man-in-the-Middle-Attacke oder durch das Eindringen in den fraglichen Xiaomi-Server beliebige Malware auf eine große Zahl von Android-Geräten zu schleusen, ohne, dass sich die Nutzer dagegen wehren können.
Bei Xiaomi kann auch genau Buch darüber geführt werden, wie viele und welche Mobiltelefone jeweils versorgt worden sind. Der Prozess übermittelt dafür beim Download einer Software jeweils die IMEI-Nummer, das Gerätemodell, die MAC-Adresse und einige weitere Informationen an das Unternehmen.
Quelle: Smartphones von Xiaomi kommen mit nicht abschaltbarer Backdoor
