[Felieton] Xiaomi – ładny, mocny, tani i z backdoorem

Artur Patnaik
Artur Patnaik
17.09.2016

Skoro telefon jest ładny, z dobrymi podzespołami i bardzo tani w porównaniu do produktów większych producentów to musi oznaczać jedno – chciwe korporacje chcą zarobić jak najwięcej oferując to samo!

Niestety, ale prawda jest trochę inna – aby firma mogła normalnie funkcjonować w cenie telefonu powinny być uwzględnione nie tylko podzespoły, ale także czas i koszty poświęcone na projekt i budowę prototypów, wszelkie testy, opracowanie nakładki i oprogramowania systemowego, marketing wraz z wszystkimi wydarzeniami zorganizowanymi w celach promocji nowego urządzenia. Dopiero kiedy te i inne koszty się zwrócą możemy mówić o dochodowym biznesie.

Mniejsze firmy na pewno mają ciężki start, ale garściami uczą się na błędach swoich większych konkurentów – Xiaomi, czyli chiński startup i wciąż prywatna firma udało się zostać tzw. „startupowym jednorożcem”, czyli wybić ponad wartość miliarda dolarów, a osiągnęli to dzięki finansowaniu z azjatyckich holdingów (choć wśród nich był też Qualcomm) i szybko zdobyli uznanie na azjatyckim rynku. Obecnie, po 6 latach od założenia, Xiaomi zatrudnia 8000 osób i depcze po piętach największych graczy, jednocześnie sukcesywnie udostępniając swoje przeróżne produkty (od smartfonów i smartbandów, po urządzenia związane z internetem rzeczy) na kolejnych rynkach zachodnich.

Niestety, ale choć wszyscy kupujemy produkty tworzone w Chinach, to tamtejszy rząd nie należy do najprzychylniejszych w kwestiach nowoczesnych technologii – wystarczy poczytać o cenzurze internetu, a także o hakerach zatrudnianych przez rząd, którzy mają za zadanie infiltrować obce serwery. Chińczycy zarabiają biliony dolarów na tworzeniu elektroniki dla zachodu i przez większość takich firm są regularnie kontrolowane, ale jak to wygląda w przypadku produkowania dla chińskich graczy? Dlaczego rząd, który uwielbia bezwzględną kontrolę swoich obywateli nie miałby skorzystać z tak genialnej okazji do monitorowania zachodu?

A team competing in the CTF contest at DEFCON 17 in Las Vegas.

Pierwsze takie poważne doniesienia pojawiły się rok temu kiedy to GData opublikowało raport w którym opisywali, że w wielu urządzeniach od chińskich producentów odnaleźli preinstalowany spyware – gwoli wyjaśnienia – telefony były kupowane przez różne sklepy i nie wykluczone, że po drodze ktoś zainstalował na nich oprogramowanie mające na celu monitorowanie użytkownika, ale jednak w przypadku chińskich smartfonów często decydujemy się na zakup przez takie portale jak Flipcart, Amazon, czy AliExpress, więc z takich samych, niepewnych źródeł. Aby doinstalować taki spyware sprzedawca musiał specjalnie odblokować telefon, dograć złośliwe oprogramowanie i z powrotem go zablokować, więc nie jest to też taki prosty proces.

Teraz pojawiła się kolejna ciekawa informacja, bowiem jeden z użytkowników Xiaomi Mi4 odkrył, że nie może na swoim smartfonie usunąć procesu o nazwie AnalyticsCore, który przez całą dobę kontaktuje się z serwerem Xiaomi, wysyłając i odbierając z niego dane. Wszelkie próby usunięcia kończyły się szybką reinstalacją. Co więcej holenderski użytkownik nie znalazł wyjaśnienia na forach producenta i postanowił zbadać łączność procesu z obcym serwerem. Okazało się, że proces funkcjonuje jak backdoor i umożliwia w dowolnym momencie instalację i usuwanie oprogramowania mającego w nazwie Analytics.apk bez wiedzy czy zgody użytkownika.

Przy każdym połączeniu wysyłane były również niektóre dane, takie jak numer IMEI, nazwę modelu czy adres MAC.

Maskotka Xiaomi
Maskotka Xiaomi

Wkrótce po opisaniu problemu Xiaomi wystosowało oficjalne oświadczenie tłumacząc, że proces AnalyticsCore to narzędzie służące do wysyłania raportów dla Xiaomi, które mają na celu pomóc w firmie uporać się z błędami w MIUI i docelowo poprawić wrażenia z użytkowania. MIUI sprawdza cyfrowy podpis każdej z aplikacji analitycznych, które instaluje aby upewnić się, że pochodzą z oficjalnego źródła, a w przeciwnym razie są one blokowane. Od wersji 7.3 MIUI wspiera tylko portokół HTTPS, który zapobiega atakom typu man-in-the-middle.

Teoretycznie więc nie ma się więc czego bać – w końcu to oficjalne rozwiązanie Xiaomi, a dlaczego prywatna firma, która powstała znikąd, wydaje telefony w bardzo niskich cenach i w ciągu 4 lat od wydania pierwszego telefonu była wyceniane na blisko 50 miliardów dolarów, miałaby mieć wobec użytkowników niecne zamiary? Na to pytanie musimy odpowiedzieć sobie sami. 

Posiadający smartfony tej marki jeśli chcą zabezpieczyć się przed instalacją aplikacji bez ich wiedzy lub zgody będą musieli wykorzystać firewall i zablokować kontaktowanie się z domenami należącymi do Xiaomi.