Antara sebab mengapa telefon pintar yang dibuat di China menjadi popular dan ‘bangkit’ dalam pasaran suatu masa dulu ialah selain menawarkan harga yang rendah, spesifikasi yang diberikan juga adalah agak tinggi setara dengan telefon pintar lain yang berjenama. Selain Lenovo, Meizu, Xiaomi juga adalah antara yang mempelopori pasaran dalam niche telefon pintar berharga rendah dengan spesifikasi tengah/tinggi.
Satu yang menjadi tanda tanya dikalangan pengguna termaju ialah aplikasi bloatware yang dipasang secara lalai dalam setiap peranti Xiaomi. Untuk mengetahui ‘peranan’ aplikasi tersebut, seorang pelajar Sains Komputer dari Netherland, Broenink, yang juga pemilik Xiaomi Mi4, melakukan siasatan terperinci bagi sebuah aplikasi yang bernama ‘AnalyticsCore.apk’ yang berjalan di balik tabir sistem operasi tanpa henti, dan tetap akan muncul semula meskipun ia telah dipadam oleh pengguna.
Bagaimanapun penemuan yang didapati oleh Broenink adalah mengejutkan, apabila beliau menyedari aplikasi itu telah menghantar maklumat pengguna kepada pelayan rasmi Xiaomi secara berkala.
Beliau juga mendapati bahawa aplikasi ‘Analytics’ itu dapat dipasang pada peranti Xiaomi tanpa memaklumkan kepada pengguna. Apa yang membimbangkan ini boleh dianggap sebagai satu kerentanan sekuriti, dan mana-mana penyerang boleh menggunakan kerentanan ini untuk memasang aplikasi malware pada peranti tanpa disedari oleh pengguna.
Ini adalah kerana tiada sebarang pengesahan dibuat oleh peranti untuk mengesahkan keaslian fail apk yang dimuat turun sekaligus membolehkan penyerang untuk mengeksploitasi ruang bagi meletakkan fail ‘AnalyticsCore.apk’ mereka sendiri.
Buat sementara waktu ini, jalan ‘penyelesaian’ yang boleh dibuat oleh pengguna ialah dengan menggunakan aplikasi firewall untuk menyekat sambungan kepada mana-mana domain yang berkait dengan pelayan Xiaomi.
Sumber : Thijs Broenink
P/s : Psssttt, kalau menurut jurucakap syarikat Xiaomi, aplikasi Analytics tersebut digunakan untuk mengumpul maklumat bagi meningkatkan mutu pengalaman pengguna bersama peranti, dan ianya tidak boleh dieksploitasi oleh penggodam kerana MIUI akan memeriksa apk itu terlebih dahulu. Abam kata? Abam kata cari telefon lain je lah. Screw you Xiaomi.
Rujukan : SecurityIntelligence