Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Submitter: Kiswum

De Europese fansite xiaomi.eu heeft de verdachte AnalyticsCore-app uit zijn release van Miui verwijderd. De applicatie werd recentelijk door een Nederlandse student ontdekt en maakt het mogelijk om op afstand apps te installeren op Xiaomi-toestellen.

In de releasenotes van versie 6.9.15 van Miui is opgenomen dat de AnalyticsCore-app is verwijderd. Het is echter onduidelijk of dit door de community zelf is gedaan of dat de app ook uit de Chinese developer builds is weggehaald. In de releasenotes van die builds staat geen informatie over het verwijderen van de applicatie. De releases van xiaomi.eu zijn gebaseerd op de Chinese roms.

Onlangs kwam de Nederlandse student Thijs Broenink erachter dat de AnalyticsCore-app het op afstand installeren van een willekeurige applicatie mogelijk maakt, zolang deze de naam 'Analytics.apk' draagt. Dit zou door Xiaomi zelf kunnen gebeuren, maar bijvoorbeeld ook door een kwaadwillende die in staat is om verkeer tussen het toestel en de Xiaomi-servers te onderscheppen.

Tweakers heeft destijds navraag gedaan bij de fabrikant, maar geen reactie ontvangen. Het bedrijf heeft later wel een reactie afgegeven aan de site Hacker News. Daarin stelt Xiaomi dat het voor kwaadwillenden niet mogelijk is om een willekeurige app te installeren door verkeer te onderscheppen. Dit zou voorkomen worden door een digitale handtekening van de app. Het bedrijf legde verder uit dat de AnalyticsCore-app ertoe dient om 'de gebruikerservaring te verbeteren door gegevens te analyseren'. Ook zou de app een functie hebben voor automatische updates.

Met dit antwoord gaat Xiaomi niet in op het feit dat het zelf in staat is om op afstand een app te installeren. The Hacker News schrijft dat het ook deze vraag aan het bedrijf heeft voorgelegd. Tot nu toe is daar echter nog geen vervolg op gekomen.

Moderatie-faq Wijzig weergave

Reacties (37)

Een andere app die ook in de MIUI ROM aanwezig is, is de Chinese advertentie app SystemAdSolution.apk. Deze kan dus voor ongewenste reclames zorgen op je Xiaomi toestel http://en.miui.com/thread-294530-1-1.html.
Interessante link Chocoball! Ik heb mijn Mi2 snel even bekeken.
Ik zie hem niet in de huidige developer release van Xiaomi.eu (6.9.22). Hij is er ergens in de keten al tussenuit behaald. Ik heb overigens ook nooit systeemreclames op mijn Xiaomi telefoons gezien, mede doordat ik altijd gebruik maken van Xiaomi.eu roms.

Even wat goed nieuws voor Miui. Mijn telefoon van bijna 4 jaar oud laat met Stagefright en QuadRooter zien dat hij veilig is voor die kwetsbaarheden.

@John Rambo, is de app aanwezig in jouw Global build? Zit daar ook de msa app bij die ook wordt genoemd in de link van Chocoball?
Ik heb ook de SystemAdsolution erop staan. Ik heb de weekly global 6.9.22.

Ik zal kijken of ik vandaag mijn vrouw haar redmi 3 even kan ontfutselen, zij draait namelijk de chinese weekly daarop.

Edit : Gelukt, op de redmi 3 met 6.9.8 staan beide apps nog. Nu even updaten en kijken of ze daar ook nog in staan.

Edit2: ook in China dev 6.9.22 staan ze allebei nog

[Reactie gewijzigd door John Rambo op 24 september 2016 09:05]

Bedankt voor het controleren!
Xiaomi.eu heeft de vreemde Apps er dus zelf uitgehaald. Miui lijkt op deze manier ten onder te gaan aan hun eigen succes. Gelukkig zijn er mensen die de rom op hogere handen dragen dan Miui zelf...
Ook nog even op de oude redmi 2 gekeken waar wel een oude xiaomi.eu rom op staat, 6.5.x, en hier staat wel de analytics app op maar niet de SystemAdsolution. Die is er blijkbaar al maanden uit.
Op zich is er natuurlijk wel goed nieuws. Zoals ik bij het eerder bericht al aangaf, is er qua beveiliging geen direct gevaar als de apk bestanden beschermd worden met een handtekening. Immers dat is niet anders dan de updates van iOS, Windows Update of Google zelf. Ook daar kijkt het OS regelmatig op servers naar updates en download bestanden waarna enkel als de handtekening klopt er geinstalleerd wordt.

Ook is wat Xiaomi doet niet stiekem. Het staat immers in hun algemene voorwaarden. En analytische data vergaren doet Android/Google uberhaupt al, dus die extra data die nu naar de OEM gaat lijkt me niet meteen een reden om in paniek te raken.

In feite is het dus een beetje een storm in een glas water ... O-)

Wel de vraag of de Xiaomi handtekening controle wel robuust is. Omdat er geen technische details zijn, kunnen we dat niet controleren.

En uiteraard goed voor de gebruiker dat de app zo verwijderbaar is _/-\o_
In feite is het dus een beetje een storm in een glas water ... O-)
Helemaal geen storm in een glas water anders zouden ze de app niet verwijderen natuurlijk.
Die conclusie kun je zo niet trekken. Als consumenten hysterisch worden van een achtergrond plaatje omdat ze denken dat het spionage technologie is van marsmannetjes, kan ik me voorstellen dat een bedrijf pragmatisch denkt en gewoon het plaatje verwijderd om verdachtmakingen te stoppen. Dan zie jij dit als bevestiging van de theorie.

Los daarvan vind ik alle leverancier specifieke componenten verdacht. Ik wordt gek van de Sony apps in standaard Xperia rom. En nu ook van Windows 10. Wetgeving moet ingrijpen want het gaat mij allemaal al veel te ver. Wetgeving zou verplicht moeten stellen dat leveranciers alleen stock rom mogen leveren en alle addons standaard verwijderbaar moeten maken zoals Microsoft en internet Explorer en media player.
Het gebeurt al dus het is OK? Dat gaat toch nergens over.

Ik wil niet dat mijn telefoon naar enige server pollt om dan zonder mijn toestemming arbitraire code uit te voeren, dat is in geen geval OK.
Ben wel benieuwd of dit inderdaad alleen een actie is van xiaomi.eu of dat de app ook meteen uit de officiŽle MIUI roms zijn gehaald.
Helaas draai ik zelf de xiaomi.eu ROM, dus kan hier verder niets over zeggen behalve dan dat deze hem inderdaad niet meer heeft.

[Reactie gewijzigd door darasta op 23 september 2016 18:55]

Xiaomi.eu heeft het vermeld in de changelog, zij hebben het specifiek zelf verwijderd.
Xiaomi zelf heeft er helemaal niks over genoemd, geen enkele mededeling. Daar zit het dus ook nog gewoon in. Vanaf 16.9.15 is de Xiaomi.eu 'analytics-vrij'.

Zie ook hier, Xiaomi heeft het zelf niet verwijderd, qua vergelijking met Xiaomi.eu:
Niet:
http://en.miui.com/thread-361791-1-1.html
Wel:
https://xiaomi.eu/community/threads/6-9-15-19.34208/

[Reactie gewijzigd door dutchgio op 23 september 2016 19:20]

Ook fijn bij data roaming. Naast de andere bezwaren natuurlijk.
Ik heb mijn Redmi Note 3 Pro SE even geŁpdate naar de meest recente versie maar als ik onder "settings > installed apps > all" kijk zie ik hem niet staan. Weet niet of hij daarvoor wel aanwezig was. Ik draai een internationale rom van MIUI zelf, niet van xiaomi.eu
Hij stond in de volgende folder van het interne geheugen: system/apps.
Ff gekeken, hij staat er dus nog wel in. Helaas.
De (internationale) Global build loopt ongeveer 4 weken achter op de Stable Chinese build. De Stable build loopt soms 4 weken achter op de Developer / weekly Chinese en Xiaomi.eu build.

Het is niet verwonderlijk dat de app er nog steeds bij jouw telefoon in zit. Ik ben vooral benieuwd of mensen de Chinese Developer build hebben gedraaid afgelopen maandag of woensdag (vanwege vakantie in China kwam de 6.9.15 build uit op 19 september en niet op 15 september).
Vraagje...heb je de Kate gekocht? Met band 20? Zo ja, waar?
Alvast bedankt!
Mooi want die analytics-app zorgt bij mij voor 5MB dataverbruik per dag.
Overigens was deze app er in de ROM van vorige week (6.9.15 / 19) al uitgehaald.
De nieuwe weekly is 6.9.22

Voor zover ik de releasenotes trouwens begrijp is de app er in de orginele rom ook al uitgehaald. De miui.eu wijzigingen staan onder "Our ROM features" De changelog is volgens mij van de global.

[Reactie gewijzigd door jbhc op 23 september 2016 18:46]

Xiaomi.eu is gebaseerd op de China Dev rom, dus hebben ook die changelog naast hun eigen wijzigingen. Die van AnalyticsCore is van hun zelf, dus ik verwacht dat het in de originele Xiaomi rom er nog gewoon in zit. Xiaomi heeft ook geen mededeling m.b.t. die app gedaan nadat het bekend werd vorige week.
Ik vind 150MB in een maand voor iets wat ik helemaal niet wil op mijn mobiel anders nog altijd best een hoop. Ook als je een 1GB databundel hebt is dit een best groot deel ongewenste dataverbruik.
De vraag is natuurlijk wel of het enkel 5MB bij WiFi is, of ook 5MB bij cellular. Vaak zijn dit soort apps slim en sturen enkel bij WiFi en connectie met de AC-adapter.
's Nachts staat hier thuis de WIFI uit. Het viel mij op dat ik na een update van een week of 2 geleden opeens mijn dag begon met ongeveer 5MB verbruikte data. De App is dus niet intelligent.
Zeker op de MIUI roms is het goed mogelijk om een firewall te installeren.
Als je dan weet waar dat verbruik zit, en je hebt er last van kun je dat eenvoudig blokkeren.

Ik ben van mening dat er helemaal niet zo'n app op zou moeten staan, maar een beetje zelfredzaamheid is ook niet verkeerd.
Niet alles hoeft door een externe partij aangeleverd te worden toch?
Op al mijn mobile devices hou ik in de gaten waar het gebruik zit, en als het mij niet bevalt, gaat het gewoon 'uit' of naar 127.0.0.1
Als je maar een 500MB abbo hebt is het anders idioot veel voor iets wat je niet gebruikt.
Mijn Redmi Note 3 Pro is onderweg uit China. Meteen maar een xiaomi.eu rom op pleuren... :)
Xiaomi zelf heeft al gereageerd op de aanwezigheid van de app.
Lees hier: http://en.miui.com/forum....t&ptid=184042&pid=6552019

Volgens Xiaomi zelf is de applicatie veilig:
[quote] "As a security measure, MIUI checks the signature of the Analytics.apk app during installation or upgrade to ensure that only the APK with the official and correct signature will be installed,"[/quote]


Nevermind, niet goed gelezen in het originele bericht. Stond een link naar dezelfde statement in..

[Reactie gewijzigd door DimitryK op 23 september 2016 20:46]

Dat was overigens vorige week al, versienummer is ook niet 6.15.9 maar 6.9.15. ^als in 2016, 9 als in september en de 15 de dag in september.
De versie van deze week is dan ook .22.

Vrij snel gehandeld dus, en zonder verklaring wat Xiaomi hiermee doet, die blijft stil, is dit een prima oplossing. Ik draaide toch al de Xiaomi.eu rom in verband met multilanguage ondersteuning.
Dank, heb het aangepast.
Het is geen malware. Neem je ook voorbarige conclusies zonder iets meer achtergrond in je voorspellingsbedrijfje? Laat dan maar zitten... |:(
Bij het voorspellen van de toekomst is logischerwijs elke conclusie of voorspelling voorbarig... ;) Maar goed, dat is wel off topic.
Voor mij nogmaals de bevestiging om maar geen Chinese telefoons in huis te halen, ondanks dat ze soms best leuke hardware hebben.
Helaas is wel gebleken dat zo'n beetje elk merk zulke praktijken er op na houdt tegenwoordig. ;(
Wat een droevige post, het over Apple schurft hebben, terwijl het hier helemaal niet over Apple gaat. Feit blijft dat Xiaomi negatief in het nieuws blijft komen en iedere keer wordt het gefixed maar wie weet hoeveel van die dingen zitten er nog in? Gewoon wegblijven dus.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True