Smartphones von Xiaomi kommen mit nicht abschaltbarer Backdoor
Der große chinesische Smartphone-Hersteller Xiaomi liefert seine Android-Geräte offensichtlich mit einer Backdoor aus, die es ihm ermöglicht, jederzeit beliebige Software auf den Mobiltelefonen seiner Kunden zu installieren. Damit gerät das Unternehmen einmal mehr in den Focus der Security-Szene.
Xiaomi gehört zu den größten Smartphone-Herstellern der Welt und findet auch in den westlichen Ländern zunehmend Beachtung. Auch ein Informatik-Student aus den Niederlanden, Thijs Broenink, entschied sich für den Kauf eines Smartphones des Unternehmens. Als er einen genaueren Blick auf die Vorgänge in seinem Xiaomi Mi4 warf, entdeckte er einen Prozess, der vom AnalyticsCore.apk angestoßen wurde und rund um die Uhr im Hintergrund lief. Versuche, diesen zu beenden und auch das Löschen des Paketes bewirkten gar nichts. Die Anwendung tauchte plötzlich wieder auf und setzte ihre Arbeit fort, heißt es in einem Bericht von HackerNews.
Nachfragen im Support-Forum des Herstellers führten zu keinem Ergebnis. Die Nachfragen wurden schlicht ignoriert. Broenink begann daraufhin AnalyticsCore per Reverse Engineering zu analysieren und fand unter anderem heraus, dass die Anwendung mindestens alle 24 Stunden einen Xiaomi-Server kontaktiert und prüft, ob dort aktuellere Programmversionen vorliegen. Wird eine Analytics.apk gefunden, lädt das Tool diese herunter und installiert sie. Dies entspricht im Grunde einem relativ normalen Update-Prozess.
Allerdings hat in diesem Fall der Nutzer keine Chance einzugreifen. Download und Installation erfolgen komplett im Hintergrund und anschließend nimmt die neue Software ihren Betrieb auf. Die Nutzer von Xiaomi-Smartphones haben also keine Möglichkeit, zu unterbinden, dass der Hersteller Code seiner Wahl auf ihr Mobiltelefon bringt und diesen ausführt.
Verschärft wird das Problem dadurch, dass keinerlei Prüfung des heruntergeladenen APK erfolgt. So wäre es auch Angreifern möglich, mit einer Man-in-the-Middle-Attacke oder durch das Eindringen in den fraglichen Xiaomi-Server beliebige Malware auf eine große Zahl von Android-Geräten zu schleusen, ohne, dass sich die Nutzer dagegen wehren können.
Bei Xiaomi kann auch genau Buch darüber geführt werden, wie viele und welche Mobiltelefone jeweils versorgt worden sind. Der Prozess übermittelt dafür beim Download einer Software jeweils die IMEI-Nummer, das Gerätemodell, die MAC-Adresse und einige weitere Informationen an das Unternehmen.
Nachfragen im Support-Forum des Herstellers führten zu keinem Ergebnis. Die Nachfragen wurden schlicht ignoriert. Broenink begann daraufhin AnalyticsCore per Reverse Engineering zu analysieren und fand unter anderem heraus, dass die Anwendung mindestens alle 24 Stunden einen Xiaomi-Server kontaktiert und prüft, ob dort aktuellere Programmversionen vorliegen. Wird eine Analytics.apk gefunden, lädt das Tool diese herunter und installiert sie. Dies entspricht im Grunde einem relativ normalen Update-Prozess.
Allerdings hat in diesem Fall der Nutzer keine Chance einzugreifen. Download und Installation erfolgen komplett im Hintergrund und anschließend nimmt die neue Software ihren Betrieb auf. Die Nutzer von Xiaomi-Smartphones haben also keine Möglichkeit, zu unterbinden, dass der Hersteller Code seiner Wahl auf ihr Mobiltelefon bringt und diesen ausführt.
Verschärft wird das Problem dadurch, dass keinerlei Prüfung des heruntergeladenen APK erfolgt. So wäre es auch Angreifern möglich, mit einer Man-in-the-Middle-Attacke oder durch das Eindringen in den fraglichen Xiaomi-Server beliebige Malware auf eine große Zahl von Android-Geräten zu schleusen, ohne, dass sich die Nutzer dagegen wehren können.
Bei Xiaomi kann auch genau Buch darüber geführt werden, wie viele und welche Mobiltelefone jeweils versorgt worden sind. Der Prozess übermittelt dafür beim Download einer Software jeweils die IMEI-Nummer, das Gerätemodell, die MAC-Adresse und einige weitere Informationen an das Unternehmen.
Thema:
Das Google Pixel 8 im Preisvergleich
Expert.de 
DieTechnik 
Expert_ecommerce 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
Pixel 10a: Reicht das Einsteigermodell oder doch besser Premium?
-
POCO X8 Pro im Test: Viel Smartphone für einen recht kleinen Preis
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
-
MagicPad 4: Honors Versuch zum Tablet-Gipfelsturm im Test
-
Erstaunliche Vielfalt: Die besten Tablets für unter 300 Euro
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Blöd gelaufen: Motorola legt Router mit eigener App seit Wochen lahm
- Unsere Milchstraße: 50 Jahre altes Rätsel um Schwarzes Loch gelöst
- Retro-Trend: Das nächste Kult-Spiel der 2000er erhält ein Remaster
- Letzte Chance: Top MwSt.-Deals von Media Markt & Saturn im Überblick
- RTX 3050 Ti: Leak zu nie erschienener GPU zeigt, was hätte sein können
- Großangriff: Wurm killt Microsoft-GitHub-Repos - mit schweren Folgen
Videos
Beliebte Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Wie kann ich die Untertitel einem Video hinzufügen?
MiezMau - Gestern 16:42 Uhr -
DaVinci Resolve 21 Final wurde freigegeben
Ler-Khun - Vorgestern 17:17 Uhr -
Bayerns Digitalministerium bemüht sich um digitale Souveränität
Computer - 05.06. 23:58 Uhr -
Neues Release: LibreOffice 26.2.4 ist da!
Ler-Khun - 05.06. 22:47 Uhr -
Samba Version 4.24.3 ist freigegeben
Ler-Khun - 04.06. 23:57 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen