你好,游客 登录 注册 搜索
背景:
阅读新闻

利用后门小米能在你的手机上安装任意应用

[日期:2016-09-17] 来源:solidot.org  作者:Linux [字体: ]

荷兰的一位小米4用户发现手机预装了一个叫 AnalyticsCore.apk(com.miui.analytics)的应用,会自动在后台运行,他不喜欢未经许可收集用户信息的应用,因此对它进行了逆向工程。他发现该应用每24小时会访问小米官方服务器检查更新,在发送请求时它会同时发送设备的识别信息,包括手机的IMEI、型号、MAC地址、Nonce、包名字和签名。如果服务器上有名叫Analytics.apk的更新应用,它会自动下载和安装,整个过程无需用户干预。应用安装时没有任何验证,也就是说该漏洞能被黑客利用,或者小米只需要将想要安装的应用重命名为Analytics.apk就可以将其推送给用户。不出乎任何人意料的是,设备是通过HTTP发送请求和接收更新,这意味着用户很容易遭到中间人攻击。

本文永久更新链接地址http://www.linuxidc.com/Linux/2016-09/135229.htm

linux
相关资讯       小米手机 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款