Seguridad

Una app preinstalada de Xiaomi se convierte en un agujero de seguridad

Escrito por Marcos Merino

Un estudiante ha identificado una app oculta que transmite información sobre nuestro teléfono a Xiaomi y cuyo proceso de actualización es altamente inseguro.

Thijs Broenink es un estudiantes neerlandés de Ciencias de la Computación y usuario del smartphone Xiaomi Mi4 que hace un tiempo decidió emprender una investigación sobre su terminal tras descubrir una misteriosa app preinstalada denominada AnalyticsCore.apk, que se ejecutaba en segundo plano y que siempre volvía a reaparecer tras su desinstalación. Según explica Broenink en su blog, “no soy un gran fan de las apps que obtienen información sin mi permiso, así que empecé a investigar sus actividades. Para los que no lo sepan, Xiaomi es el mayor fabricante de China, y está creciendo activamente en todo el mundo”.

Ocurre que muchos fabricantes de móviles, amparándose en la naturaleza libre de Android, equipan a sus terminales con versiones propias del sistema operativo, en las que se añaden o suprimen funcionalidades, se preinstalan aplicaciones y se personalizan las interfaces. Xiaomi no es, desde luego, un fabricante ajeno a esta práctica, pero su historial previo inspira cierta desconfianza en lo que se refiere a la seguridad: hace tiempo se descubrió que su capa de personalización de Android, conocida como MIUI, se actualizaba a través de canales inseguros. A eso se suman las acusaciones recibidas por la compañía de recopilar datos a espaldas de sus usuarios para después almacenarlos en servidores ubicados en China.

Lo que Thijs Broenink descubrió, tras aplicar ingeniería inversa a AnalyticsCore.apk, fue que la app comprueba cada 24 horas si existe alguna actualización en los servidores de la compañía, y que durante dicha comprobación aprovecha para enviar información identificativa del dispositivo (número de IMEI, dirección MAC, etc). Las actualizaciones, en el caso de realizarse, se llevan a cabo sin la participación o conocimiento del usuario y, lo que es peor, sin recurrir a ningún tipo de proceso de validación, lo que potencialmente permitiría a los hackers suplantar esta app y explotarla como agujero de seguridad. Y si esto no fuera suficiente muestra de desidia por parte de Xiaomi, la conexión con sus servidores se realiza a través de HTTP y no de HTTPS, lo que abre la puerta a ataques ‘man-in-the-middle’.

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.