[Felieton] Xiaomi – ładny, mocny, tani i z backdoorem

Artur Patnaik
Artur Patnaik
17.09.2016

Skoro telefon jest ładny, z dobrymi podzespołami i bardzo tani w porównaniu do produktów większych producentów to musi oznaczać jedno – chciwe korporacje chcą zarobić jak najwięcej oferując to samo!

Niestety, ale prawda jest trochę inna – aby firma mogła normalnie funkcjonować w cenie telefonu powinny być uwzględnione nie tylko podzespoły, ale także czas i koszty poświęcone na projekt i budowę prototypów, wszelkie testy, opracowanie nakładki i oprogramowania systemowego, marketing wraz z wszystkimi wydarzeniami zorganizowanymi w celach promocji nowego urządzenia. Dopiero kiedy te i inne koszty się zwrócą możemy mówić o dochodowym biznesie.

Mniejsze firmy na pewno mają ciężki start, ale garściami uczą się na błędach swoich większych konkurentów – Xiaomi, czyli chiński startup i wciąż prywatna firma udało się zostać tzw. „startupowym jednorożcem”, czyli wybić ponad wartość miliarda dolarów, a osiągnęli to dzięki finansowaniu z azjatyckich holdingów (choć wśród nich był też Qualcomm) i szybko zdobyli uznanie na azjatyckim rynku. Obecnie, po 6 latach od założenia, Xiaomi zatrudnia 8000 osób i depcze po piętach największych graczy, jednocześnie sukcesywnie udostępniając swoje przeróżne produkty (od smartfonów i smartbandów, po urządzenia związane z internetem rzeczy) na kolejnych rynkach zachodnich.

Niestety, ale choć wszyscy kupujemy produkty tworzone w Chinach, to tamtejszy rząd nie należy do najprzychylniejszych w kwestiach nowoczesnych technologii – wystarczy poczytać o cenzurze internetu, a także o hakerach zatrudnianych przez rząd, którzy mają za zadanie infiltrować obce serwery. Chińczycy zarabiają biliony dolarów na tworzeniu elektroniki dla zachodu i przez większość takich firm są regularnie kontrolowane, ale jak to wygląda w przypadku produkowania dla chińskich graczy? Dlaczego rząd, który uwielbia bezwzględną kontrolę swoich obywateli nie miałby skorzystać z tak genialnej okazji do monitorowania zachodu?

A team competing in the CTF contest at DEFCON 17 in Las Vegas.

Pierwsze takie poważne doniesienia pojawiły się rok temu kiedy to GData opublikowało raport w którym opisywali, że w wielu urządzeniach od chińskich producentów odnaleźli preinstalowany spyware – gwoli wyjaśnienia – telefony były kupowane przez różne sklepy i nie wykluczone, że po drodze ktoś zainstalował na nich oprogramowanie mające na celu monitorowanie użytkownika, ale jednak w przypadku chińskich smartfonów często decydujemy się na zakup przez takie portale jak Flipcart, Amazon, czy AliExpress, więc z takich samych, niepewnych źródeł. Aby doinstalować taki spyware sprzedawca musiał specjalnie odblokować telefon, dograć złośliwe oprogramowanie i z powrotem go zablokować, więc nie jest to też taki prosty proces.

Teraz pojawiła się kolejna ciekawa informacja, bowiem jeden z użytkowników Xiaomi Mi4 odkrył, że nie może na swoim smartfonie usunąć procesu o nazwie AnalyticsCore, który przez całą dobę kontaktuje się z serwerem Xiaomi, wysyłając i odbierając z niego dane. Wszelkie próby usunięcia kończyły się szybką reinstalacją. Co więcej holenderski użytkownik nie znalazł wyjaśnienia na forach producenta i postanowił zbadać łączność procesu z obcym serwerem. Okazało się, że proces funkcjonuje jak backdoor i umożliwia w dowolnym momencie instalację i usuwanie oprogramowania mającego w nazwie Analytics.apk bez wiedzy czy zgody użytkownika.

Przy każdym połączeniu wysyłane były również niektóre dane, takie jak numer IMEI, nazwę modelu czy adres MAC.

Maskotka Xiaomi
Maskotka Xiaomi

Wkrótce po opisaniu problemu Xiaomi wystosowało oficjalne oświadczenie tłumacząc, że proces AnalyticsCore to narzędzie służące do wysyłania raportów dla Xiaomi, które mają na celu pomóc w firmie uporać się z błędami w MIUI i docelowo poprawić wrażenia z użytkowania. MIUI sprawdza cyfrowy podpis każdej z aplikacji analitycznych, które instaluje aby upewnić się, że pochodzą z oficjalnego źródła, a w przeciwnym razie są one blokowane. Od wersji 7.3 MIUI wspiera tylko portokół HTTPS, który zapobiega atakom typu man-in-the-middle.

Teoretycznie więc nie ma się więc czego bać – w końcu to oficjalne rozwiązanie Xiaomi, a dlaczego prywatna firma, która powstała znikąd, wydaje telefony w bardzo niskich cenach i w ciągu 4 lat od wydania pierwszego telefonu była wyceniane na blisko 50 miliardów dolarów, miałaby mieć wobec użytkowników niecne zamiary? Na to pytanie musimy odpowiedzieć sobie sami. 

Posiadający smartfony tej marki jeśli chcą zabezpieczyć się przed instalacją aplikacji bez ich wiedzy lub zgody będą musieli wykorzystać firewall i zablokować kontaktowanie się z domenami należącymi do Xiaomi.

  • pikut

    Śmiechom nie było końca.

  • Wiele urządzeń ma backdoora. Służby bezpieczeństwa chcą mieć dostęp do danych. Apple również obniżyło zabezpieczenia ze względu na FBI i CIA. Przydałoby się w artykule też o tym wspomnieć.

    • pikut

      Nie kompromituj się.

      • Typowa odpowiedź osoby, która nie ma wiedzy i argumentów.

        • LinekPark

          Dla mnie są skreślenii. To tak, jakbyś mimo tego, że GM brał dane(km, lokalizacje, prędkości) do siebie, a także robiłby to i Opel niezależnie od koncernu, to i tak wmawiał, że tylko do GM to idzie i Opel jest czysty…
          Ps
          To tylko przykład i nie twierdzę, że Opel i GM to robią. Zrobiłem to dla ukazania zależności takiej, jak między Xiaomi i Google.

          • OWC

            Czyli tak jak to robi Tesla…:/

      • Odpowiedz rzeczowo bardziej 😛 @Zibski:disqus Dyrektor FBI przyznał, że złamanie zabezpiczeń iPhone’a kosztowało ponad 1 mln dolarów…

        • Nie mamy pewności czy to co powiedział było prawdą.

          • Ale mamy pewność, że w MIUI jest narzędzie, które pełni funkcję backdoora 😛

          • AdamP35

            He he to wytłumacz mi jedną rzecz odnośnie szpiegowania przez giganta google, już tłumaczę o co chodzi. Telefon Moto z Play czysty android z zainstalowaną przeglądarką „Chrome” został podłączony z siecią wifi do której był także podpięty stacjonarny komputer PC też z taką samą przeglądarką. Na komputerze nie byłem zalogowany do żadnego konta google, historia jak i wszystkie dane są czyszczone raz albo 2 razy dziennie. W telefonie po uruchomieniu przeglądarki Chrome z synchronizowały się wszystkie dane z komputera loginy, strony itp. każdą stronę którą usunąłem w telefonie lub w komputerze od razu się to razem synchronizowało. Ja się pytam jakim cudem Google na to pozwala bez mojej zgody i pytania połączyć z obcym komputerem w sieci i przesłać moje dane ??? Czy to nie jest kontrola o której mówi się tu w komentarzach o szpiegowaniu użytkownika bez jego wiedzy ? A gdybym połączył się z jakąś inna siecią WIFI to poszły by moje dane w niepowołane ręce. Wydaję mi się że firma Xiaomi zbierając tylko statystyki dla własnych celów poprawy nakładki Miui robi mniejszą krzywdę niż cała reszta znanych marek.

          • MiloszI

            A słyszałeś u chmurze Xiaomi? Może ten proces do tego właśnie jest? To jest wbudowane w ich MIUI. Dzięki temu migracja z telefonu na telefon, to wpisanie danych konta Xiaomi i za chwile masz wszystko, jak na starym telefonie. Jeśli ktoś nie lubi MIUI, to wrzuca Cyanogen Mod i po zabawie.

          • AdamP35

            Przecież żaden rząd nie przyzna się do szpiegowania i tego, że rypie swoich obywateli w du… Jak w telewizji by powiedzieli, że zapłacili hakerowi 10 000 $ i dali pracę w odpowiednim urzędzie to naruszyli by dobry interes państwa bo ośmieszyli by firmę amerykańską a na to sobie nie pozwolą bo dbają o własne interesy i wpływy do kasy rządowej. Ale co ja tam wiem przecież napisali bla bla bla lub mówili bla bla bla … i wszyscy łyknęli jak młode pelikany.

    • LinekPark

      Google/Apple/Microsoft o to dba w androidzie/ios/windowsie, można to ograniczyć w ustawieniach. Tu dodatkowo jeszcze Xiaomi bierze sobie dane do SIEBIE. Mówiłem nie tylko ja, tanie chinole są tanie nie bez powodu.

      • ihugun

        Z tego co się orientuję to również używasz taniego chinola 🙂

        • LinekPark

          U mnie jeszcze Motorola, ale obecnie to już chinol.

  • LinekPark

    Takie pytanie Artur:
    To było wcześniej zaplanowane, czy mój link do gsmmaniaka natchnął do felietonu?

    • Zacząłem wcześniej, ale link też się przydał, więc dzięki 😀

  • RDF3

    dziwią mnie ludzie, którzy sprowadzają sobie to „coś ” z Chin.
    wiem – niby cena, ale mimo wszystko…

    • Akcesoria rozumiem sprowadzać z chin, bo znajomy np sobie 5 case’ów kupił w cenie jednego w polsce 😉 Ale elektroniki ja osobiście się boje – już nie mówiąc jeśli się ma małe dzieci w domu. W kwestii telefonów oczywiście są sprawdzone marki, ale wolałbym zaoszczędzić miesiąc więcej i kupić jednak coś markowego niż „noname”. Xiaomi już wyrosło na dużą firmę, więc zobaczymy jak będzie z ich wejściem na nasz rynek- szczególnie jak klientom przyjdzie dopłacić VAT, który płacą kupując telefony innych producentów 😀

      • RDF3

        Już wiadomo ile kosztuje marża sklepu, zapewnienie gwarancji i VAT. Z 1300 zł robi się 2K 😉

      • siekier

        Ja kupiłem podrobke systemu odsłuchu dousznego bezprzewodowego. Podróbka sennheise g3. W Polsce wariant który kupiłem kosztuje około 5000-6000zl. Ja zapłaciłem 1300. Jestem mega zadowolony. Jakość brzmienia naprawdę różni się tylko odrobinę. Ale trzeba wiedzieć co można kupić bo nie zawsze tak tak 🙂

  • Wiadomość z ostatniej chwili: Xiaomi oficjalnie w Polsce!

    • Tyran1918

      Skąd ta pewność? Do tej pory był jedynie plotki.

  • Kovaristo

    Która firma sprzedaje smartfony nie produkowane w Chinach?

    • BlackBerry? 😀 Moje Z10 jest z Meksyku, Q10 z Kanady, a Z30 było z Węgier. Passporty też są w Meksyku produkowane o ile dobrze pamiętam 😉 Samsung S6 Edge dziewczyny jest wyprodukowany w Korei.
      Poza tym wspomniałem w tekście: „Niestety, ale choć wszyscy kupujemy produkty tworzone w Chinach (…) ” Różnica polega na tym, że zachodnia korpo z łatwością wykryje czy na ich sprzętach jest hardware…Ale oboje wiemy, że w dzisiejszych czasach niczego nie możemy być pewni 🙂

      • Kovaristo

        Jeden z numerów polega na tym, ze sprowadza się bebecy i obudowę do jednego z krajów UE, tu wkłada jedno w drugie, a potem pisze „made im UE”

      • Tyran1918

        Priv i Dtek50 gdzie był robione?

      • BogoMIPS

        „BlackBerry? 😀 Moje Z10 jest z Meksyku, Q10 z Kanady, a Z30 było z
        Węgier. Passporty też są w Meksyku produkowane o ile dobrze pamiętam”

        …czyli żaden z nich nie był zrobiony w Chinach 🙂

      • Samsung S6 Edge

        Idź sie jebnij o ściane. Większość podzespołów wyprodukowana w chinach.
        Koreańskie roboty później to składają.

    • QWERTY

      Microsoft , Blackberry

  • Don Pedro

    Orientuje się ktoś jak to wygląda w przypadku OnePlus’a? Też możemy liczyć na takie ” niespodzianki „?

  • Peter

    To już wiecie dlaczego blackbery jest niemodne? I ich system nie jest wspierany I chcą go wszyscy ubić? Bo każdy chce wiedzieć co robimy I te wszystkie programy do śledzenia w tych chinolach to jakaś masakra! To wręcz oburzajace co producenci robią by nas szpiegowac I kontrolować. Dzięki panie że jestem daleki od takich wynalazków. . Pozostaje że swoim bezpiecznym systemem od BlackBerry. Dziękuję za uwagę

    • Artur Rakowski

      To sumie ma sens…Chen dostał „prikaz” z gory-ubijaj BB OS i instaluj Androida. Po przeczytaniu tej informacji poważnie zastanawiam się czy nie wybrać się w przyszłym tygodniu do sklepu po Passporta….

    • Blazz Blaise

      Każdy chce szpiegować. To jedno a drugie to fakt, iż bb10 jest jak miecz obusieczny – dzięki niemu możemy się zabezpieczyć, z kolei terrorysta może nim osiągnąć swój niecny cel. Albo kryminalista… :/

  • MiloszI

    Przecież jest Cyanogen Mod i nie ma wtedy żadnego szpiegowania 🙂

  • civil

    czy ktoś mi może wytłumaczyć co to jest i do czego służy WatchDox ?