Голландский исследователь Тийс Броенинк (Thijs Broenink) заинтересовался приложением AnalyticsCore.apk, которое обнаружил на своем смартфоне Xiaomi Mi4. Приложение противостояло любым попыткам остановить его или удалить, но какие функции оно выполняет, понять не удавалось. Не дождавшись никакого ответа от официальных лиц, исследователь отреверсил код AnalyticsCore и обнаружил, что приложение может быть попросту опасно.

Пытаясь удовлетворить свой интерес, исследователь сначала обратился со своим вопросом в официальную поддержку MIUI, но так и не получил ответа, хотя этим приложением до него интересовались и другие пользователи. Тогда Броенинк отреверсил код приложения и узнал, что каждые 24 часа AnalyticsCore связывается с официальным сервером Xiaomi и проверяет наличие обновлений. В ходе этой проверки приложение каждый раз отправляет на сервер информацию о модели устройства, IMEI, MAC-адресе, модели девайса, Nonce и так далее. Если обновление на сервере найдено, то оно автоматически скачивается и устанавливается в фоновом режиме, без участия пользователя. Исследователь пишет, что ему не удалось обнаружить в коде какие-либо доказательства, однако подобный трюк явно требует повышенных привилегий.

Исследователь пишет, что при этом AnalyticsCore никак не проверяет подлинность источника данных, а также сам загруженный файл.

«Похоже, никакая валидация устанавливаемого APK не проводится. Выходит, что каждые 24 часа Xiaomi имеет возможность тайно заменить любое (подписанное?) приложение на вашем устройстве», — пишет Броенинк.

Хотя данную проблему можно назвать бэкдором, вряд ли он появился на устройствах Xiaomi умышленно. Так, исследователь пишет, что в довершении всего AnalyticsCore скачивает апдейты и передает пользовательские данные через HTTP, что делает возможной атаку man-in-the-middle. Любой желающий может перехватить запрос приложения и подменить APK модифицированной версией.

Броенинк так и не смог выяснить, какой цели служит AnalyticsCore, так как приложение не делает на устройстве ничего, только запрашивает обновления. Поиск в Google и на официальных сайтах компании тоже не дали никакой конкретной информации о предназначении AnalyticsCore. В итоге исследователь посоветовал пользователям заблокировать на своих устройствах все запросы к доменам xiaomi.com и xiaomi.net, просто на всякий случай.

Ссылка на исследование https://www.thijsbroenink.com/2016/09/xiaomis-analytics-app-...

Новость взята с сайта xakep.ru

Исследователи из университета Мичигана предложили метод, позволяющий на стадии производства встроить в процессор бэкдор, который практически невозможно обнаружить. Изменения могут быть внесены на фабрике без ведома разработчика микросхемы.

«Хотя переход на транзисторы меньшего размера положительно сказался на производительности, он также привёл к драматичному росту стоимости технологического процесса. Это вынуждает подавляющее большинство компаний, которые разрабатывают микросхемы, доверять производство другим (и зачастую иностранным) фирмам, — объясняют исследователи. — Чтобы избежать поставки микросхем с дефектами (преднамеренными или нет), они полагаются на испытания, проводимые после завершения производства. К сожалению, такие испытания не предотвращают вредоносные модификации».

Предложенная атака начинается с модификации одного из логических вентилей процессора. Для этого в него встраивают дополнительный конденсатор. Когда заряд конденсатора превышает определённый уровень, функциональность вентиля меняется на противоположную.

Для управления зарядом конденсатор можно подключить к проводнику, который оказывается задействован при выполнении определённых команд, а в обычных условиях срабатывает лишь изредка. В этом случае при нормальной работе компьютера заряд конденсатора будет рассеиваться и никогда не достигнет нужного порога.

Поскольку злоумышленники знают, что заряжает конденсатор, они могут разработать программу, которая будет выполнять именно те действия, которые влияют на модифицированный вентиль, и таким образом добьются активации вредоносного режима. Необходимая для этого последовательность событий может быть крайне специфической и маловероятной, поэтому угадать её на стадии тестировании чипа почти невозможно.

Обнаружить атаку другими методами тоже крайне трудно. В современном процессоре миллионы вентилей. Поскольку изменениям подвергается лишь один вентиль, и сами изменения незначительны, бэкдор почти наверняка останется незамеченным.

Исследователи продемонстрировали эффективность этого метода, изготовив модифицированный чип, основанный на open-RISC 1200. «Эспериментальные результаты показывают, что наша атака действует, — пишут они в работе «Аналоговое вредоносное аппаратное обеспечение». — При этом ей удаётся избегать активации набором разнообразных тестов. Это показывает, что наша атака способна обойти известные методы защиты».

Не так давно издание The Information сообщало, что в Apple считают, что кто-то перехватывает и модифицирует серверы, заказанные по традиционным каналам. Компания даже завела специальных сотрудников, которые фотографировали материнские платы и искали объяснение функциональности каждой микросхемы. Изобретение неуловимых бэкдоров, скрытых внутри самих процессоров, вряд ли поможет усмирить паранойю в отношении заморских производителей железа.