Smartphones von Xiaomi kommen mit nicht abschaltbarer Backdoor
Xiaomi gehört zu den größten Smartphone-Herstellern der Welt und findet auch in den westlichen Ländern zunehmend Beachtung. Auch ein Informatik-Student aus den Niederlanden, Thijs Broenink, entschied sich für den Kauf eines Smartphones des Unternehmens. Als er einen genaueren Blick auf die Vorgänge in seinem Xiaomi Mi4 warf, entdeckte er einen Prozess, der vom AnalyticsCore.apk angestoßen wurde und rund um die Uhr im Hintergrund lief. Versuche, diesen zu beenden und auch das Löschen des Paketes bewirkten gar nichts. Die Anwendung tauchte plötzlich wieder auf und setzte ihre Arbeit fort, heißt es in einem Bericht von HackerNews.
Nachfragen im Support-Forum des Herstellers führten zu keinem Ergebnis. Die Nachfragen wurden schlicht ignoriert. Broenink begann daraufhin AnalyticsCore per Reverse Engineering zu analysieren und fand unter anderem heraus, dass die Anwendung mindestens alle 24 Stunden einen Xiaomi-Server kontaktiert und prüft, ob dort aktuellere Programmversionen vorliegen. Wird eine Analytics.apk gefunden, lädt das Tool diese herunter und installiert sie. Dies entspricht im Grunde einem relativ normalen Update-Prozess.
Allerdings hat in diesem Fall der Nutzer keine Chance einzugreifen. Download und Installation erfolgen komplett im Hintergrund und anschließend nimmt die neue Software ihren Betrieb auf. Die Nutzer von Xiaomi-Smartphones haben also keine Möglichkeit, zu unterbinden, dass der Hersteller Code seiner Wahl auf ihr Mobiltelefon bringt und diesen ausführt.
Verschärft wird das Problem dadurch, dass keinerlei Prüfung des heruntergeladenen APK erfolgt. So wäre es auch Angreifern möglich, mit einer Man-in-the-Middle-Attacke oder durch das Eindringen in den fraglichen Xiaomi-Server beliebige Malware auf eine große Zahl von Android-Geräten zu schleusen, ohne, dass sich die Nutzer dagegen wehren können.
Bei Xiaomi kann auch genau Buch darüber geführt werden, wie viele und welche Mobiltelefone jeweils versorgt worden sind. Der Prozess übermittelt dafür beim Download einer Software jeweils die IMEI-Nummer, das Gerätemodell, die MAC-Adresse und einige weitere Informationen an das Unternehmen.
Nachfragen im Support-Forum des Herstellers führten zu keinem Ergebnis. Die Nachfragen wurden schlicht ignoriert. Broenink begann daraufhin AnalyticsCore per Reverse Engineering zu analysieren und fand unter anderem heraus, dass die Anwendung mindestens alle 24 Stunden einen Xiaomi-Server kontaktiert und prüft, ob dort aktuellere Programmversionen vorliegen. Wird eine Analytics.apk gefunden, lädt das Tool diese herunter und installiert sie. Dies entspricht im Grunde einem relativ normalen Update-Prozess.
Allerdings hat in diesem Fall der Nutzer keine Chance einzugreifen. Download und Installation erfolgen komplett im Hintergrund und anschließend nimmt die neue Software ihren Betrieb auf. Die Nutzer von Xiaomi-Smartphones haben also keine Möglichkeit, zu unterbinden, dass der Hersteller Code seiner Wahl auf ihr Mobiltelefon bringt und diesen ausführt.
Verschärft wird das Problem dadurch, dass keinerlei Prüfung des heruntergeladenen APK erfolgt. So wäre es auch Angreifern möglich, mit einer Man-in-the-Middle-Attacke oder durch das Eindringen in den fraglichen Xiaomi-Server beliebige Malware auf eine große Zahl von Android-Geräten zu schleusen, ohne, dass sich die Nutzer dagegen wehren können.
Bei Xiaomi kann auch genau Buch darüber geführt werden, wie viele und welche Mobiltelefone jeweils versorgt worden sind. Der Prozess übermittelt dafür beim Download einer Software jeweils die IMEI-Nummer, das Gerätemodell, die MAC-Adresse und einige weitere Informationen an das Unternehmen.
Mehr zum Thema: Android
Kommentar abgeben
Netiquette beachten!
Beliebt im Preisvergleich
- cat umtsover:
Neue Android-Bilder
Android-Videos
-
Galaxy A54 & Galaxy A34: Samsungs neue Mittelklasse im Hands-on
-
Honor Magic 5 Pro: Erste Eindrücke zum neuen Top-Smartphone
-
Übertrifft die 8 Zoll große Konkurrenz: Das Lenovo Tab M9 im Test
-
Lenovo Tab M8 Gen 4 im Test: Günstiges Tablet mit klaren Schwächen
-
Amazon Fire HD 8 (Plus) im Test: Einsteiger-Tablets mit Problemen
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 11:20 Uhr 
QTshine Power Bank 36800mAh Externer Akku, USB C Powerbank mit 4LEDs Anzeigelampe, Tri Ausgängen & Dual Eingängen Handy Ladegerät Akku, Kompatibel mit iPhone, Samsung, Huawei, Switch usw
QTshine Power Bank 36800mAh Externer Akku, USB C Powerbank mit 4LEDs Anzeigelampe, Tri Ausgängen & Dual Eingängen Handy Ladegerät Akku, Kompatibel mit iPhone, Samsung, Huawei, Switch usw Original Amazon-Preis
35,95 €
Blitzangebot-Preis
30,56 €
Ersparnis zu Amazon 15% oder 5,39 €
Neue Nachrichten
- Jetzt verfügbar: Microsoft startet mit neuem Teams in eine "neue Ära"
- Samsung Osteraktion: Galaxy-Notebooks jetzt mit 0%-Finanzierung
- Letzte Chance im eShop: Kauf von Spiele für Wii U & 3DS nur noch heute
- Doppelmoral bei Microsoft: Wer Bing für KI-Training nutzt, wird bestraft
- Smart Home Deals: Produkte von Aqara bei Amazon stark reduziert
- Von Sperma inspiriert: Mikroroboter erkennt und entfernt kranke Zellen
- KI überwacht Parkplatz, Kunden und Datenschützer sind entsetzt
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Folgt uns auf Twitter
Meist kommentierte Nachrichten
WinFuture wird gehostet von Artfiles
Forum
-
Server schmeißt Clienets aus dem Internet
CaNNoN - vor 24 Minuten -
Datenvolumen D vs Luxemburg
Nutzpass - Heute 16:52 Uhr -
Win 11 Vers. 22H2 Anzeigeprobleme bei Spielen
Reteibeg - Heute 13:41 Uhr -
Windows 11 Probleme mit Audio
Majosho - Heute 12:26 Uhr -
Outlook 365 Formular-Vorlage
Mikesch - Heute 11:50 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen