Xiaomi เป็นผู้ผลิตโทรศัพท์มือถือและอุปกรณ์ต่างๆ ตั้งแต่ทีวีไปยันเครื่องชั่งน้ำหนักชื่อดังจากประเทศจีน หากแต่ที่ผ่านมา Xiaomi สร้างข้อกังขาให้กับผู้ใช้อยู่หลายครั้ง ทั้งเรื่องของการขโมยข้อมูลผู้ใช้ การเผยแพร่มัลแวร์ หรือการที่มือถือติดมัลแวร์มาจากโรงงาน
ล่าสุดมีการตรวจพบช่องโหว่บนมือถือของ Xiaomi ที่จะเปิดช่องให้ Xiaomi หรือแฮ็กเกอร์สามารถติดตั้งแอพใดๆ ลงบนมือถือของผู้ใช้ก็ได้
ช่องโหว่นี้อยู่บนแอพ AnalyticsCore.apk ที่ทาง Xiaomi ได้พรีโหลดมาจากโรงงาน โดยแอพนี้จะแอบรันอยู่เบื้องหลังอยู่ตลอดเวลา และแม้ว่าผู้ใช้จะลบแอพนี้ไปแล้ว แต่จุดหนึ่งมันก็จะโผล่กลับมาเอง
การทำงานของแอพนี้คือมันจะเชื่อมต่อไปยังเซิร์ฟเวอร์ทุกๆ 24 ชั่วโมงเพื่อตรวจหาว่าแอพมีอัพเดทหรือไม่ ถ้าหากมีอัพเดทแอพก็จะดาวน์โหลดไฟล์ที่ชื่อว่า Analytics.apk มา และทำการติดตั้งลงไปบนเครื่องโดยไม่แจ้งเตือนใดๆ แก่ผู้ใช้ ซึ่งทางผู้ค้นพบช่องโหว่คาดว่าแอพจะถูกรันด้วยแอพอื่นในระบบที่มีสิทธิ์การทำงานสูงกว่าอีกทีหนึ่ง
ปัญหาคือเมื่อมีการดาวน์โหลดไฟล์ Analytics.apk มาแล้ว ตัวแอพจะถูกติดตั้งลงไปทันทีโดยไม่มีการตรวจสอบความถูกต้องใดๆ ของไฟล์ที่ดาวน์โหลดมา นั่นหมายความว่าถ้าหาก Xiaomi ต้องการให้ผู้ใช้ติดตั้งแอพอะไร ก็เพียงแค่เอาไฟล์ APK ของแอพนั้นมาเปลี่ยนชื่อเป็น Analytics.apk และอัพโหลดขึ้นไปบนเซิร์ฟเวอร์ตามปกติ
นอกจากนี้แล้ว ในขั้นตอนการตรวจสอบอัพเดทกับทางเซิร์ฟเวอร์ ยังเป็นการส่งผ่านการเชื่อมต่อแบบ HTTP ไม่เข้ารหัส ซึ่งทำให้แฮ็กเกอร์สามารถดักและปลอมตัวเพื่อส่งแอพหรือมัลแวร์ใดๆ ไปติดตั้งในเครื่องของผู้ใช้ได้ตลอดเวลาอีกด้วย อีกทั้งในขั้นตอนการตรวจสอบอัพเดท ก็ยังมีการส่งข้อมูลต่างๆ เกี่ยวกับเครื่องของผู้ใช้ไปด้วย เช่นรุ่นมือถือ, เลข IMEI, หรือ MAC Address
ความเห็นของเรา
ตอนนี้ยังไม่ทราบว่าแอพ AnalyticsCore.apk นั้นเป็นแอพวิเคราะห์ข้อมูลจริงๆ หรือเป็นแอพที่มีจุดมุ่งหมายอื่นแอบแฝง อีกทั้งทาง Xiaomi ก็ยังไม่ได้ออกมาให้ความเห็นใดๆ เกี่ยวกับกรณีนี้
สำหรับใครที่ต้องการแก้ปัญหานี้แบบเฉพาะหน้าไปก่อน ก็สามารถทำได้โดยการติดตั้งแอพ Firewall ต่างๆ และปิดกั้นการเชื่อมต่อไปยัง URL ต่างๆ ของทาง Xiaomi ครับ
ที่มา – The Hacker News
