Seguridad

Una app preinstalada de Xiaomi se convierte en un agujero de seguridad

Escrito por Marcos Merino

Un estudiante ha identificado una app oculta que transmite información sobre nuestro teléfono a Xiaomi y cuyo proceso de actualización es altamente inseguro.

Thijs Broenink es un estudiantes neerlandés de Ciencias de la Computación y usuario del smartphone Xiaomi Mi4 que hace un tiempo decidió emprender una investigación sobre su terminal tras descubrir una misteriosa app preinstalada denominada AnalyticsCore.apk, que se ejecutaba en segundo plano y que siempre volvía a reaparecer tras su desinstalación. Según explica Broenink en su blog, “no soy un gran fan de las apps que obtienen información sin mi permiso, así que empecé a investigar sus actividades. Para los que no lo sepan, Xiaomi es el mayor fabricante de China, y está creciendo activamente en todo el mundo”.

Ocurre que muchos fabricantes de móviles, amparándose en la naturaleza libre de Android, equipan a sus terminales con versiones propias del sistema operativo, en las que se añaden o suprimen funcionalidades, se preinstalan aplicaciones y se personalizan las interfaces. Xiaomi no es, desde luego, un fabricante ajeno a esta práctica, pero su historial previo inspira cierta desconfianza en lo que se refiere a la seguridad: hace tiempo se descubrió que su capa de personalización de Android, conocida como MIUI, se actualizaba a través de canales inseguros. A eso se suman las acusaciones recibidas por la compañía de recopilar datos a espaldas de sus usuarios para después almacenarlos en servidores ubicados en China.

Lo que Thijs Broenink descubrió, tras aplicar ingeniería inversa a AnalyticsCore.apk, fue que la app comprueba cada 24 horas si existe alguna actualización en los servidores de la compañía, y que durante dicha comprobación aprovecha para enviar información identificativa del dispositivo (número de IMEI, dirección MAC, etc). Las actualizaciones, en el caso de realizarse, se llevan a cabo sin la participación o conocimiento del usuario y, lo que es peor, sin recurrir a ningún tipo de proceso de validación, lo que potencialmente permitiría a los hackers suplantar esta app y explotarla como agujero de seguridad. Y si esto no fuera suficiente muestra de desidia por parte de Xiaomi, la conexión con sus servidores se realiza a través de HTTP y no de HTTPS, lo que abre la puerta a ataques ‘man-in-the-middle’.

Sobre el autor de este artículo

Marcos Merino

Diseñador web y docente de educación no formal, imparte cursos de informática en el medio rural porque las brechas están para cerrarlas. Desde que le nombraron director de la revista de su colegio, no ha dejado de escribir.