'Xiaomi kan op afstand applicaties installeren op toestel'

De Nederlandse student Thijs Broenink schrijft in een blogpost dat zijn Xiaomi-toestel standaard is voorzien van een app met de naam AnalyticsCore. Door deze app te onderzoeken kwam hij erachter dat hiermee een nieuwe apk geïnstalleerd kan worden, zolang deze een bepaalde naam draagt.

Broenink schrijft dat hij de AnalyticsCore-app tegenkwam op zijn Mi4, en dat deze applicatie op de achtergrond draait en elke 24 uur controleert of er een bepaalde update beschikbaar is. De app verstuurt een verzoek naar een server op het domein sdkconfig.ad.xiaomi.com en stuurt daarbij onder andere het mac-adres, de imei en het toestelmodel mee. Als er daadwerkelijk een update-apk beschikbaar is, wordt deze gedownload en uitgevoerd.

Dit gebeurt volgens de student zonder dat er enige verificatie plaatsvindt, waardoor de indruk wordt gewekt dat Xiaomi zonder dat een gebruiker het doorheeft, een applicatie op een apparaat kan installeren. Dit is mogelijk zolang die app de naam 'Analytics.apk' draagt, aldus Broenink. Hij raadt gebruikers dan ook aan om andere verzoeken naar de diensten van Xiaomi te blokkeren.

Broenink kon geen informatie vinden over de functie van de AnalyticsCore-app. Op de Xiaomi-forums kon hij een enkele thread vinden, maar zonder verdere informatie. Tweakers heeft navraag gedaan bij Xiaomi, maar nog geen antwoord ontvangen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 15-09-2016 16:16 95

15-09-2016 • 16:16

95

Lees meer

Xiaomi kondigt dinsdag Mi Note 2 met Edge-scherm aan
Xiaomi kondigt dinsdag Mi Note 2 met Edge-scherm aan Nieuws van 21 oktober 2016
Xiaomi kondigt Mi5s Plus-smartphone met dubbele camera aan
Xiaomi kondigt Mi5s Plus-smartphone met dubbele camera aan Nieuws van 27 september 2016
Europese Xiaomi-fansite verwijdert verdachte analytics-app uit Miui-release
Europese Xiaomi-fansite verwijdert verdachte analytics-app uit Miui-release Nieuws van 23 september 2016
Mac-versie Transmission bevatte voor de tweede keer malware
Mac-versie Transmission bevatte voor de tweede keer malware Nieuws van 30 augustus 2016
Onderzoekers vinden OS X-malware die gegevens uit keychain steelt
Onderzoekers vinden OS X-malware die gegevens uit keychain steelt Nieuws van 7 juli 2016
Beveiligingsonderzoeker ontdekt backdoorscript bij hacken Facebook
Beveiligingsonderzoeker ontdekt backdoorscript bij hacken Facebook Nieuws van 25 april 2016
Meer producten en artikelen
Netwerk en systeembeheer Xiaomi Security

Reacties (95)

-Moderatie-faq
95
92
56
4
0
5
Wijzig sortering
Bor Coördinator Frontpage Admins / FP Powermod
15 september 2016 16:22
Het gevaar is niet alleen dat Xiaomi ongemerkt een APK kan installeren maar ook dat kwaadwillenden dit doen doordat er blijkbaar geen enkele verificatie plaats vind.

Eén van de opties die ik bedenk;
Zo kun je bv een rogue access point opzetten (handig vlakbij bijvoorbeeld de Mc Donalds) en de genoemde domeinnamen naar een eigen rogue server verwijzen. Nog erger is dat de geinstalleerde APK blijkbaar (dat maak ik op uit de tekst) ook nog eens automatisch uitgevoerd kan worden.

De post van Broenink is erg interessant en van code voorzien zodat het makkelijk te volgen is wat er precies gebeurt.

Onduidelijk op dit moment is of dit euvel ook te vinden is in custom roms gebaseerd op MIUI, zoals Xiaomi.eu.

[Reactie gewijzigd door Bor op 23 juli 2024 09:26]

Jorgen @Bor15 september 2016 16:34
Eigenlijk is dit toch geen verrassing? Iedereen kan op afstand apps op zijn eigen telefoon zetten. Weliswaar vanuit je Google Play account, maar toch. Zonder telefoon in de buurt kan je in de Play Store apps aanklikken en ze worden automatisch op je telefoon gedownload en geïnstalleerd. We weten ook al heel lang dat telecomproviders via bepaalde service-sms'jes instellingen op je telefoon kunnen wijzigen en dat Apple (aangekochte) apps weer van je telefoon kan verwijderen. De enige verrassing is nog dat Broenink heeft gevonden wáár deze mogelijkheid verstopt zat en dat hierdoor mensen met enige kennis van zaken, het nu kunnen gaan blokkeren.
jozuf @Jorgen15 september 2016 16:44
Alle voorbeelden die je geeft hebben helemaal niets met dit artikel te maken.
Xiaomi heeft een eigen service ontwikkeld om apps te pushen. Dus niet vanuit je Google play account, dit word geheel beheerd door Xiaomi, Google of wie dan ook staat er buiten.
De SMSjes van je provider is gewoon onderdeel van het protocol, en is ook gewoon open gedocumenteerd. Daar word helemaal niet geheimzinnig over gedaan. Net zo goed als het Google Play services verhaal.
Het ding hierin is dat dit zomaar word meegeleverd zonder dat de gebruiker hiervan weet. De vraag is ook maar hoe veilig dit allemaal is.

[Reactie gewijzigd door jozuf op 23 juli 2024 09:26]

Cerberus_tm @jozuf15 september 2016 17:28
Het is wel degelijk heel relevant wat Jorgen zegt. Google kan onbeperkt apps op je telefoon installeren. Dat zie je ook bij wat ze doen met hun Play Services. Hoe vaak heb ik al niet gehad dat mijn batterij weer snel leeg ging na zo'n ongevraagde update? Met een beetje knutselen kun je dat wel blokkeren gelukkig.
Luca
@Cerberus_tm15 september 2016 17:49
Dat zijn updates, hier betreft het apps die er nog niet op staan. Elke app uit de playstore kan zichzelf updaten zonder dat je het zelf doet, tijdens het opladen van mijn telefoon gebeurt dit bijvoorbeeld ook.
Cerberus_tm @Luca15 september 2016 18:27
Nee, een nieuwe app kan ook.
jozuf @Cerberus_tm15 september 2016 19:52
Dat klopt (play services verhaal) maar hoe stom het ook is, daar geef je iig toestemming voor (maar niemand leest het :p). In deze situatie is er geen eens toestemming gevraagd.

[Reactie gewijzigd door jozuf op 23 juli 2024 09:26]

Kiswum
@jozuf15 september 2016 20:38
Het staat in dit geval in de voorwaarden die de gebruiker accepteert. Ik heb het gedeelte van die voorwaarden in een andere reactie geplakt.
Cerberus_tm @jozuf15 september 2016 22:32
Mja maar goed, wat maakt dat voor mij voor verschil? Google kan nieuwe code uitvoeren op mijn telefoon zonder dat ik dat kan tegenhouden (tenzij ik dat dus blokkeer, maar dat doet bijna niemand).
Jorgen @jozuf15 september 2016 17:47
Dat begrijp ik helemaal. Waar het mij om gaat is dat het me totaal niet verrast dat naast Google, Apple en de telecomproviders, óók telefoonfabrikanten de mogelijkheid hebben om jouw telefoon te gebruiken / veranderen, op welke manier dan ook. Ik begrijp ook wel dat er een verschil zit tussen open en gedocumenteerd communiceren over die mogelijkheid, of het via verborgen apps en stiekem gepushte apk's ongevraagd dingen aan je telefoon te wijzigen. Er zullen tig casussen te verzinnen zijn, waarbij het gerechtvaardigd zou kunnen zijn, maar nu is het verdacht.
koelpasta @Jorgen15 september 2016 20:22
Ik vind eigenlijk dat jozuf de verkeerde punten aanhaalt.
Het grote probleem met deze app is dat er geen enkele vorm van authenticatie lijkt plaats te vinden.
Een iedereen kan in principe een willekeurige apk op zo'n telefoon krijgen. Dat maakt het tot een enorm veiligheidsgat.
Kama @Jorgen15 september 2016 17:02
Er gaan twee dingen mis hier met Xiaomi

1. Gegevens over je telefoon worden zonder encryptie naar Xiami gestuurd, gewoon als een http get request. Gewoon het nalezen van logs op een router kan al informatie verschaffen over je device, zoals IMEI, Mac, etc. Dit doet Google Play niet. Als jedat soort data al verstuurt (je kunt je afvragen waar IMEI voor nodig is), dan moet je het versleuteld versturen.

2. Het package dat geinstalleerd moet worden kan door DNS manipulatie vanuit een willekeurige bron komen. Bij Google Play is de herkomst geverifieerd. Xiaomi had ook hier een beveiligde verbinding moeten gebruiken waarbij het certificaat de identiteit van Xiaomi bevestigt. Of de apk uiteindelijk ook werkt is niet geheel duidelijk, maar een apk van 100TB vanuit een ongeverifieerde bron zou doodleuk gedownload worden.

Daarnaast kun je je nog afvragen of het wel zo netjes is dat Xiaomi geen open kaart over heeft gespeeld over het feit dat ze software buiten alle reguliere wegen om pushen.

[Reactie gewijzigd door Kama op 23 juli 2024 09:26]

Chris.nl @Kama15 september 2016 19:25
Iedere fabrikant kent je IMEI en mac adres al, die hebben ze er namelijk ingeprogrammeerd tijdens de productie. Misschien dat ze die gegevens gebruiken ter identificatie van het toestel. Desalniettemin een kwalijke zaak dat dit op deze manier gebeurt ja.
Anoniem: 583079 @Jorgen15 september 2016 16:40
Aan iedereen om de fabrikant van zijn toestel/OS al of niet te vertrouwen... Maar dit is toch echt wel gortig:het probleem is eerst en vooral dat de implementatie ervan compleet krakkemikkig is en dus een gigantisch veiligheidsrisico dat door gelijk wie kan worden misbruikt.
oef! @Anoniem: 58307915 september 2016 19:04
Je versimpelt het iets teveel, de URL moet gespoofed worden en de APK in kwestie moet met het correcte Xiaomi certificaat gesigneerd zijn.

Desalniettemin een kwalijke zaak.
Bor Coördinator Frontpage Admins / FP Powermod
@oef!15 september 2016 21:21
De URL omleiden is echt niet zo moeilijk en of er op een signature gecontroleerd wordt is allesbehalve duidelijk.
Anoniem: 583079 @oef!15 september 2016 19:12
Ik heb niet de indruk dat er certificaten bij te pas komen?
oef! @Anoniem: 58307915 september 2016 20:14
Right now all there’s left it so simulate an attack. IMHO it will fail as the package manager does check if the APK was signed with the same cert on INSTALL_REPLACE_EXISTING. Easiest way to check is to run:
adb install custom_app-cert1-v1.apk
adb install custom_app-cert2-v2.apk

So the shit will hit the fan once Xiaomi’s certificates leak or a bad actor in the company will decide to use them.

Zie de bronwebsite
Yariva Moderator internet & netwerken @Bor15 september 2016 16:27
Of gewoon inloggen op de mcdonalds free wifi, de DHCP server volproppen en jou eigen dhcp server opzetten met aangepaste DNS & default gateway naar je laptop toe. Echt kinderspel.

Een soort van opgelucht dat dit "enkel" de Xiaomi toestellen treft. Bij een bedirjf als Samsung zou de hoeveelheid getroffen devices naar verhouding veel groter zijn.
Soldaatje @Yariva15 september 2016 16:49
Als je op een open netwerk inlogt is de kans klein dat je andere gebruikers kan zien, dat is een instelling die zelfs mijn thuisrouter heeft.
En al was dat wel zo dan zou een firewall dhcp-servers kunnen blokkeren vanaf clients.
Een nep- AP zou gevaarlijk zijn aangezien Xiaomi geen TLS gebruikt maar gewoon http.
Dus de laatste line of defense is dan verificatie van de apk op het toestel.
Overigens kan Google ook APK's installeren op je toestel als ze willen, dat kan zelfs vanaf de Play-store website voor het gemak.
Yariva Moderator internet & netwerken @Soldaatje15 september 2016 16:55
Je hoeft ze ook helemaal niet te zien... Je hoeft enkel je laptop's IP als default route in te kloppen in je eigen DHCP server. Toegegeven, je kan shit uithalen met DHCP spoofing etc maar ik verwacht niet dat de mcdonalds netwerken zo zijn ingesteld.

[edit] DHCP berichten verzenden, blokkeren etc. Gebeurt allemaal op laag 2 nog maar hoor. Voordat die FW daar pas aan toe komt... ;)

[Reactie gewijzigd door Yariva op 23 juli 2024 09:26]

Soldaatje @Yariva15 september 2016 17:06
DHCP draait op laag 7 (applicatie).
Iptables kan tot laag 2 werken (ethernet)
Ik bedoelde, van 2 t/m 7, niet van 1 t/m 2. Ik redeneerde van boven naar beneden.

[Reactie gewijzigd door Soldaatje op 23 juli 2024 09:26]

Bor Coördinator Frontpage Admins / FP Powermod
@Soldaatje15 september 2016 21:23
Onzin. Iptables werkt op laag 2-4 van het Osi model.
lonewolf2nd @Yariva15 september 2016 18:22
Op mijn geroote samsung s5+ (wel orginele samsung rom) worden er ook wel eens samsung apps geinstalleerd. Deze verwijder ik dan weer 8-) . Dus Xiaomi is echt niet de enige fabrikant die dit doet
Enai @Yariva15 september 2016 23:09
Een soort van opgelucht dat dit "enkel" de Xiaomi toestellen treft. Bij een bedirjf als Samsung zou de hoeveelheid getroffen devices naar verhouding veel groter zijn.
In Europa, ja. In China daarentegen...
Rule @Bor15 september 2016 16:25
Wil je zeggen dat iedereen die een acces point opzet met een simpele DNS re-direct deze telefoons in feite kan 'hacken'?
adminappelgebak @Rule15 september 2016 16:40
Naja je kan sowieso de gegevens als het IMEI nummer, MAC Adres e.d. onderscheppen. Deze gegevens wil je natuurlijk niet overal op straat hebben liggen...
Anoniem: 636203 @Bor15 september 2016 16:25
Wie zegt dat de software geen digitale handtekening checkt? De onderzoeker kon dit niet bevestigen, maar dat wil niet zeggen dat het niet gebeurt.
Bor Coördinator Frontpage Admins / FP Powermod
@Anoniem: 63620315 september 2016 16:29
Of een signature vereist is is inderdaad op dit moment onduidelijk, dat had ik er bij moeten vermelden inderdaad. Een andere optie wat lijkt te kunnen is het verzamelen van informatie zoals IMEI, MAC address, Model, Nonce, Package name en signature welke worden verstuurd naar http://sdkconfig.ad.xiaom...kupdate/lastusefulversion?

[Reactie gewijzigd door Bor op 23 juli 2024 09:26]

PostHEX @Bor15 september 2016 16:36
Klassieke MitM, maar hoe is dit exclusief aan Xiaomi? Niemand moet onder welke omstandigheden dan ook contact maken met publiekelijke APs zonder VPN. Ik bedoel, serieus.
iTeV @PostHEX15 september 2016 16:44
Maar wat nou als jij bijvoorbeeld naar familie gaat, en daar heeft een of andere jan-piet de netwerk van jouw familielid gecompromised en heeft full-acces naar de router waar hij de DNS settings kan veranderen. Dan lijkt het voor jouw dat het netwerk normaal functioneert terwijl in het werkelijkheid heel wat anders gebeurt...
PostHEX @iTeV15 september 2016 16:49
VPN.
Genius-General @Bor15 september 2016 16:25
Ja en vervolgens zet je er een malafide app op met de naam "Analytics.apk" en je bent de lul
Armin
@Bor15 september 2016 21:52
Het gevaar is niet alleen dat Xiaomi ongemerkt een APK kan installeren maar ook dat kwaadwillenden dit doen doordat er blijkbaar geen enkele verificatie plaats vind.

Klopt, al weten we natuurlijk niet of bij de installatie de/een cryptografische handtekening gecontroleerd wordt O-)

Als dat zo is, is het niet anders dan de meeste andere OS'en waar de fabrikant ongevraagd eigen updates kan installeren. Dat is in ieder geval op iOS en Windows 10 (Mobile) het geval, al wordt daar er wél ruchtbaarheid aan gegeven wanneer het gebeurd.

We leven immers in een tijdperk waarin je het OS op je eigen hardware in licentie hebt, en niet in eigendom. Iets waar veel mensen de gevolgen niet altijd goed van beseffen.
darknessblade @Bor15 september 2016 18:27
had ik met 2 apps op mijn jiayu S3

ik heb momenteel de apps ge-rebuild zodat ALLE (LETTERLIJK ALLE, zelfs core premissions) premissions zijn uitgeschakeld
hierdoor kunnen de apps helemaal niets meer, ook niet updaten en functioneren.

dit had ik gedaan omdat deze telkens opnieuw werden forced installed
Hoppa! @darknessblade15 september 2016 19:27
En hoe zeker weet je dat het probleem hiermee is opgelost? Je maakt in ieder geval vrij duidelijk dat je geen vertrouwen hebt in de fabrikant die je toestel heeft gemaakt (of in elk geval in de ROM-bakker wiens software je draait). Anders was je niet zo ver gegaan, lijkt me.

Hoe zeker weet je dat er niet nog ergens, bijvoorbeeld in de kernel, een stukkie software draait met eventuele kwade bedoelingen of dat onveilig is? Ik vraag het omdat ik in de toekomst mogelijk weer een Xiaomi wil aanschaffen en ik me met de beste wil van de wereld niet meer voor kan stellen dat er na deze onthulling (en dit is niet het eerste bericht over Xiaomi en ongeoorloofd dataverkeer, matige beveiliging en of backdoors) nog mensen zijn die Miui willen draaien.

Custom kernel en custom ROM. Dan heb je nog geen zekerheid, maar ik heb meer vertrouwen in Cyanogenmod of Mokee.
darknessblade @Hoppa!15 september 2016 19:30
het kan ook een stuke kwade kernel zijn.

maar aangezien ik me er aan irriteerde, heb ik het gewoon zo gedaan, zodat ik er ook vanaf was, en ongestoord verder kon.

(volgens lookout waren de originele apps ook schadelijk, de gerebuilde, hebben geen alarm melding meer )
Sixie @Bor19 september 2016 10:02
nieuwe weekly van xiaomi.eu heeft deze als patchnotes:

CHANGELOG

Highlights
New - Set your Lock screen wallpaper as the conversation background (09-13)
New - Delete synced recordings from the device keeping them in the cloud (09-13)
New - Verify your phone number every time you sign in to your Mi Account on a new device (09-13)

Phone
New - Set your Lock screen wallpaper as the conversation background (09-13)

Home screen
Optimization - Exit recents automatically to take a call (09-13)

Camera
Fix - Fixed location and date errors for panoramic shots (09-13)

Settings
Optimization - Added password verification for moving data between spaces (09-13)

Compass
Optimization - Increased accuracy of the Compass app (09-14)

Recorder
New - Delete synced recordings from the device keeping them in the cloud (09-13)

Mi Account
New - Verify your phone number every time you sign in to your Mi Account on a new device (09-13)

Other
Optimization - Changed action bar's color to improve readability. (09-13)
Removed - AnalyticsCore.apk :)

Mi5 received all previous new features:
- New security app
- New music app
- New default system sounds
- AC (all clear) button added to calculator
- 3 fingers swipe down on any screen for taking screenshot
- New colored icons in settings
- Displaying week numbers in calendar week view
- Hiding quick ball at the edge of the screen
- 2 channels (music mode) recording option in recorder app
- Tap and hold on empty area of the home screen to customize home screen
- New animations in security app, weather app
- Single button operating mode

Source: https://xiaomi.eu/community/threads/6-9-15-19.34208/
dutchgio
15 september 2016 16:32
Dat Xiaomi zelf zoiets kan vind ik nog niet heel zorgwekkend, in principe kan elke fabrikant dat wel bij hun eigen toestellen, al moet je het dan wel willen verhullen, want dat wordt uiteraard niet geaccepteerd.

Nu wordt het bekend gemaakt en kunnen ook derden het misbruiken, want het klinkt nogal makkelijk. .apk bestand zonder verificatie over HTTP en zelfs dagelijks een check...

Bij Stagefright en onlangs Quadrooter was Xiaomi erg snel, omdat ze wekelijks (Dev) en maandelijks (Stable) updates uitbrengen. Bij andere kwetsbaarheden was men ook snel met patchen:
http://www.scmagazine.com...abilities/article/509033/
Al ligt dit wel iets anders natuurlijk, want wat is en wat doet het precies?
Verklaring en of ermee stoppen, een uitweg bieden of het via HTTPS/verificatie laten verlopen lijkt me wel reeel.


Ook wel benieuwd of een 'voor Europa geoptimaliseerde' rom als die van de Xiaomi.eu community of sMIUI het ook heeft of het daar al uit is gehaald.

[Reactie gewijzigd door dutchgio op 23 juli 2024 09:26]

Zenix @dutchgio15 september 2016 19:12
Ik heb de laatste Xiaomi.eu ROM voor mijn Redmi Note 2 en daar zit de app bij. Ik heb de app met Root Uninstaller verwijderd.
dutchgio
@Zenix15 september 2016 19:13
Inmiddels zelf ook gechecked, app is inderdaad aanwezig.
Ik heb de app (analytics) met Titanium Backup 'bevroren'. Dan is ie nog wel aanwezig maar kan niet meer opstarten. Als het goed is blijft ie dat dan ook, ook zoals aangegeven wordt in het bericht dat na verwijderen ie weer terug komt. Dat zou ik dus even in de gaten houden.
Zenix @dutchgio15 september 2016 19:18
Ja, ik heb ook eerst back-up van gemaakt en bevoren, wat ook mogelijk met Root Uninstaller. Daarna verwijderd en opnieuw opgestart, maar hij is nog steeds weg.

Hopelijkt haalt Xiaomi.eu de app ook uit hun ROM, dan hoef ik dat niet elke keer weer te doen. Zag al dat je het had gemeld op het forum :)

[Reactie gewijzigd door Zenix op 23 juli 2024 09:26]

Clukers @dutchgio15 september 2016 17:12
Hier ben ik ook wel zeer benieuwd naar aangezien ik een MI2S heb, en deze nog steeds gebruik als dagelijks toestel. Er staat wel een custom eu multilanguage ROM op, dus ik hoop dat het hier niet het geval is. Meer info is altijd welkom...
Armin
@dutchgio15 september 2016 21:57
Verklaring en of ermee stoppen, een uitweg bieden of het via HTTPS/verificatie laten verlopen lijkt me wel reeel.

Updates gaan vaak over HTTP en geen HTTPS en dat is ook geen probleem. Immers je beveiligt de update, niet het transport. Liefst wil je natuurlijk en-en, maar bij keuze wil je geen HTTPS maar beveiliging van de update zelf.

HTTPS kan immers vaak uitgeschakeld worden door anti-malware scanners van bedrijfsproxies. Zou je dan HTTPS met certifciaat-pinning doen, kun je geen updates krijgen. Idem bij problemen met het certificaat zoals verlopen zijn van root-certifciaten op de telefoon, etc

grote vraag is dan ook of de APK een sterke cryptografische handtekening heeft, en deze gecontroleerd wordt. Zo ja, is dit een storm in een glas water. Zo nee, dan is het echt een probleem, want een backdoor.
theduke1989
15 september 2016 16:47
''Tweakers heeft navraag gedaan bij Xiaomi, maar nog geen antwoord ontvangen.''
EU-services helpt daar niet echt bij ;)

Maar waarom doet xiaomi.eu hier niks tegen? Hun zouden hun roms zo moeten maken dat het anders moet gaan. Of is dit bedoeld voor de updater app'? Want dan moeten ze gewoon een eigen updater-app installeren.

Zie je ook vaak bij ZTE devs dat ze een eigen OTA-app maken en zo de updates daarop kopen.
Denk dat het nog verstandiger is ook.
dutchgio
@theduke198915 september 2016 16:58
Het is onbekend of Xiaomi.eu het ook heeft zover ik weet. Als het er in zit zullen ze er ook niet vanaf hebben geweten lijkt me.
Analyticscore is aanwezig op mijn toestel, ik draai sMIUI (afgeleide van xiaomi.eu).

Nu het bekend is lijkt het me dat er wel wat gaat veranderen, of bij Xiaomi zelf en anders wel bij xiaomi.eu.
Kiswum
@dutchgio15 september 2016 17:03
De updates worden elke donderdag gepushed en de xiaomi.eu rom zal dit op donderdag-vrijdag ook gebruiken voor hun eigen roms.

Ik zal vanavond op mijn Mi2 bekijken of deze app ook in de laatste Dev/weekly build wordt gebruikt. Ik heb rootrechten, dus ik kan overal gewoon bij.
dutchgio
@Kiswum15 september 2016 18:28
Hierbij al bevestiging; xiaomi.eu heeft het ook. App is aanwezig in system/app en draait ook in de achtergrond...
Kiswum
@dutchgio15 september 2016 19:09
Bedankt, ik heb het er inderdaad ook op staan.
Mi2
Miui8.1 by Xiaomi.eu, 6.9.8 Beta
Android 5.0.2

Ik zal bekijken of ik er iets aan kan doen op mijn telefoon. Misschien heeft het met automatische ota updates te maken, maar het ziet er wel vreemd uit i.c.m. de info die we in het artikel kunnen lezen.
dutchgio
@Kiswum15 september 2016 19:12
Ik heb met Titanium Backup (root) de app (analytics) 'bevroren'. Deze is dan nog wel aanwezig, maar kan dan niet meer opstarten.
Daarmee hoop ik ook dat hij na een tijdje weer terug komt te omzeilen.
theduke1989
@dutchgio15 september 2016 17:00
Maar xiaomi.eu moet dit zelf aanpassen. Want het zit in de ROM niet nog dieper dan de rom zelf??
Kiswum
15 september 2016 19:39
Iets voor de Tweakers jurist om uit te zoeken of dit eventueel in Europa mag (ik vermoed dat dit geen probleem is voor Azië)?
Even een stukje uit de algemene voorwaarden die ik (en alle gebruikers) heb(ben) geaccepteerd.

Privacy Policy
We've updated our policy
Our Privacy Policy was updated on 24 August 2015.

Mobile Analytics: Within some of our mobile applications we use mobile analytics software to allow us to better understand the functionality of our Mobile Software on your phone. This software may record information such as how often you use the application, the events that occur within the application, aggregated usage, performance data, and where crashes occur within the application. We do not link the information we store within the analytics software to any personal information you submit within the mobile application.

Ik heb de volledige tekst gekopieerd en even in een verborgen blog geplaatst voor een vergelijking met eventuele nieuwe voorwaarden.

[Reactie gewijzigd door Kiswum op 23 juli 2024 09:26]

maartenvdezz @Kiswum15 september 2016 19:55
Waarom denk je dat Xiaomi niet in Europa verkoopt ;) volgens mij heeft dat alles te maken met juridische zaken
Kiswum
@maartenvdezz15 september 2016 20:01
De juridische zaken in de voorwaarden lijken overeen te komen met andere merken. Af en toe blader ik er weleens doorheen op zoek naar eigenaardige dingen.
De patenten + bijkomende standaard fee/kosten lijken vooral een obstakel te zijn. Daarnaast zou Xiaomi onze markt niet eens aankunnen. Met fabrieken in India en China, kunnen ze de vraag nu al niet aan ;)
gumkop @maartenvdezz15 september 2016 20:04
Volgens mij is Xiaomi, juist retepopulair, je krijgt veel voor weinig, binnenkort een leuke laptoplijn die zo vreselijk concurrerend wordt dat de concurrentie waarschijnlijk het nu al in hun broek doet, ik ben benieuwd.

Ik vraag me af wat dat altijd is met Chinezen en al die geheime apps, eerst Lenovo, nu dit weer, waardeloos.
totaalgeenhard 15 september 2016 16:22
Dat is niet echt wenselijk.

Immers Xiaomi kan door een partij betaald worden (of in opdracht van Chinese regering) om iets op je telefoon te zetten zonder dat je daar inspraak in hebt.

Het is wel raar dat steeds meer maar zomaar als "features" worden toegevoegd en fabrikanten niet realiseren dat klant er niet op te wachten zit.

Xiaomi firewall block app zou weleens zeer succesvol blijken.

[Reactie gewijzigd door totaalgeenhard op 23 juli 2024 09:26]

FEAR-NL 15 september 2016 16:54
Mooi dat de onderzoeker dit heeft weten te vinden maar er staat nergens dat hij het getest heeft. Wie weet wordt er een andere tool aangesproken om een beveiligde verbinding tot stand te brengen.
Eigenlijk had de onderzoeker moeten testen of hij een app onder die app naam kon installeren. Desondanks niet erg netjes dat er info on- versleuteld zo over het wijde web wordt geslingerd.

Daardoor wordt er een hoop ge-assume-d, en iedereen weet.. To assume, makes an ASS out of U and Me.
greatkz 15 september 2016 17:01
Ikzelf bezit een Xiaomi MI5 en Redmi note 3 Prime met een Europese rom(xiaomi.eu),en idd die Analytics apk staat ertussen onder Miui 7&8,ook bij de officiële roms Global en Dev.Maar ik heb dit ook even onderzocht,en deze app,laat meldingen zien via knipperlicht en trilling,dus dat zou direct opvallen,moest er iets verdachts binnenkomen!Soms gebeurt het,dat er zonder een OTA update,of andere update gewoon een standaard Miui app wel eens vervangen wordt,zonder reboot en toestemming(weather,browser,...).Waarschijnlijk voor beveilingslek/stabiliteit?!Deze staan dan ook meestal in uw downloads map.Niks abnormaals volgens mij,en perfect te blocken/deleten!Heeft niets met bloatware te maken!Xiaomi.eu heeft miljoenen 'tweakers' achter zich,dus zeer betrouwbaar!!!

[Reactie gewijzigd door greatkz op 23 juli 2024 09:26]

Kiswum
@greatkz15 september 2016 17:26
Ik heb werkelijk nog nooit zomaar een nieuwe app op mijn telefoon gekregen die voorzien is van de Dev/Weekly xiaomi.eu rom (referentie voor dit jaar met Miui 8: Mi4s en Mi2). Vreemd dat dit wel bij jouw toestellen is gebeurd. Nieuwe apps komen soms wel tevoorschijn na het updaten. Dat is echter een logisch gevolg.

De enige telefoon waarbij ik dat ooit heb gehad, wasde Pepsi P1s waarvan ik binnenkort een review van plaats. Die telefoon haalde elke 4 minuten een gegevens op, zoals nieuwe apps via sms (helaas ook vanuit Duitsland). Dat trekje zat in de standaard rom.

[Reactie gewijzigd door Kiswum op 23 juli 2024 09:26]

CAPSLOCK2000
15 september 2016 17:27
Het probleem is eigenlijk veel groter. De meeste software is een black-box waarvan de gebruiker geen idee heeft wat er onder de motorkap gebeurt. Je moet de leverancier maar vertrouwen. Als het goed is beschermt je OS je tot op zeker hoogte tegen kwaadwillende applicaties, maar wie beschermt me tegen een kwaadwillend OS?

Kwaadwillend is natuurlijk enorm relatief. Wat ik als Nederlandse burger "kwaadwillend" noem hoeft niet het zelfde te zijn als wat een Chinese politicus of generaal "kwaadwillend" noemt. Sterker nog, genoeg landen die het best wel tof zouden vinden om hun eigen software verplicht op iedere telefoon te zetten, inclusief backdoor.
Sinds ieder modern OS via internet kan worden bijgewerkt is het hek helemaal van de dam.

Bovenstaande is één van de redenen waarom is Free Software zo'n mooie ideologie vindt. Alleen als je toegang hebt tot alle broncode ben je echt vrij en de baas over je eigen hardware. Helaas is het in praktijk nog steeds niet mogelijk om alle code te controleren domweg omdat het veel te veel werk is (en firmware en hardwarebugs/backdoors laat ik dan nog maar even buiten beschouwening) en veel te moeilijk voor de meeste mensen.
DJVG 15 september 2016 17:50
Ik gebruik de Mi Max met de MIUI 8 Global 6.9.8 (vorige week) beta rom en deze app is bij mij niet aanwezig.

Moet opmerken dat een tijdje geleden na een weekly global update de Mi forum app erbij gekomen was die kostte wat het kost phone permissies wilde hebben, denied en verwijderd natuurlijk, maar wel opvallend.

[Reactie gewijzigd door DJVG op 23 juli 2024 09:26]

Anoniem: 580404 15 september 2016 18:29
De APK moet gesigned zijn anders wordt hij niet geinstalleerd.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq