Europese Xiaomi-fansite verwijdert verdachte analytics-app uit Miui-release

De Europese fansite xiaomi.eu heeft de verdachte AnalyticsCore-app uit zijn release van Miui verwijderd. De applicatie werd recentelijk door een Nederlandse student ontdekt en maakt het mogelijk om op afstand apps te installeren op Xiaomi-toestellen.

In de releasenotes van versie 6.9.15 van Miui is opgenomen dat de AnalyticsCore-app is verwijderd. Het is echter onduidelijk of dit door de community zelf is gedaan of dat de app ook uit de Chinese developer builds is weggehaald. In de releasenotes van die builds staat geen informatie over het verwijderen van de applicatie. De releases van xiaomi.eu zijn gebaseerd op de Chinese roms.

Onlangs kwam de Nederlandse student Thijs Broenink erachter dat de AnalyticsCore-app het op afstand installeren van een willekeurige applicatie mogelijk maakt, zolang deze de naam 'Analytics.apk' draagt. Dit zou door Xiaomi zelf kunnen gebeuren, maar bijvoorbeeld ook door een kwaadwillende die in staat is om verkeer tussen het toestel en de Xiaomi-servers te onderscheppen.

Tweakers heeft destijds navraag gedaan bij de fabrikant, maar geen reactie ontvangen. Het bedrijf heeft later wel een reactie afgegeven aan de site Hacker News. Daarin stelt Xiaomi dat het voor kwaadwillenden niet mogelijk is om een willekeurige app te installeren door verkeer te onderscheppen. Dit zou voorkomen worden door een digitale handtekening van de app. Het bedrijf legde verder uit dat de AnalyticsCore-app ertoe dient om 'de gebruikerservaring te verbeteren door gegevens te analyseren'. Ook zou de app een functie hebben voor automatische updates.

Met dit antwoord gaat Xiaomi niet in op het feit dat het zelf in staat is om op afstand een app te installeren. The Hacker News schrijft dat het ook deze vraag aan het bedrijf heeft voorgelegd. Tot nu toe is daar echter nog geen vervolg op gekomen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 23-09-2016 18:37
37 • submitter: Kiswum

23-09-2016 • 18:37

37

Submitter: Kiswum

Lees meer

Xiaomi kondigt Mi5s Plus-smartphone met dubbele camera aan
Xiaomi kondigt Mi5s Plus-smartphone met dubbele camera aan Nieuws van 27 september 2016
'Xiaomi kan op afstand applicaties installeren op toestel'
'Xiaomi kan op afstand applicaties installeren op toestel' Nieuws van 15 september 2016
Netwerk en systeembeheer Xiaomi Security

Reacties (37)

-Moderatie-faq
37
34
21
4
0
5
Wijzig sortering
Chocoball
23 september 2016 23:21
Een andere app die ook in de MIUI ROM aanwezig is, is de Chinese advertentie app SystemAdSolution.apk. Deze kan dus voor ongewenste reclames zorgen op je Xiaomi toestel http://en.miui.com/thread-294530-1-1.html.
Kiswum
@Chocoball24 september 2016 07:28
Interessante link Chocoball! Ik heb mijn Mi2 snel even bekeken.
Ik zie hem niet in de huidige developer release van Xiaomi.eu (6.9.22). Hij is er ergens in de keten al tussenuit behaald. Ik heb overigens ook nooit systeemreclames op mijn Xiaomi telefoons gezien, mede doordat ik altijd gebruik maken van Xiaomi.eu roms.

Even wat goed nieuws voor Miui. Mijn telefoon van bijna 4 jaar oud laat met Stagefright en QuadRooter zien dat hij veilig is voor die kwetsbaarheden.

@John Rambo, is de app aanwezig in jouw Global build? Zit daar ook de msa app bij die ook wordt genoemd in de link van Chocoball?
John Rambo @Kiswum24 september 2016 08:20
Ik heb ook de SystemAdsolution erop staan. Ik heb de weekly global 6.9.22.

Ik zal kijken of ik vandaag mijn vrouw haar redmi 3 even kan ontfutselen, zij draait namelijk de chinese weekly daarop.

Edit : Gelukt, op de redmi 3 met 6.9.8 staan beide apps nog. Nu even updaten en kijken of ze daar ook nog in staan.

Edit2: ook in China dev 6.9.22 staan ze allebei nog

[Reactie gewijzigd door John Rambo op 27 juli 2024 23:27]

Kiswum
@John Rambo24 september 2016 10:04
Bedankt voor het controleren!
Xiaomi.eu heeft de vreemde Apps er dus zelf uitgehaald. Miui lijkt op deze manier ten onder te gaan aan hun eigen succes. Gelukkig zijn er mensen die de rom op hogere handen dragen dan Miui zelf...
John Rambo @Kiswum24 september 2016 10:40
Ook nog even op de oude redmi 2 gekeken waar wel een oude xiaomi.eu rom op staat, 6.5.x, en hier staat wel de analytics app op maar niet de SystemAdsolution. Die is er blijkbaar al maanden uit.
Armin
23 september 2016 19:11
Op zich is er natuurlijk wel goed nieuws. Zoals ik bij het eerder bericht al aangaf, is er qua beveiliging geen direct gevaar als de apk bestanden beschermd worden met een handtekening. Immers dat is niet anders dan de updates van iOS, Windows Update of Google zelf. Ook daar kijkt het OS regelmatig op servers naar updates en download bestanden waarna enkel als de handtekening klopt er geinstalleerd wordt.

Ook is wat Xiaomi doet niet stiekem. Het staat immers in hun algemene voorwaarden. En analytische data vergaren doet Android/Google uberhaupt al, dus die extra data die nu naar de OEM gaat lijkt me niet meteen een reden om in paniek te raken.

In feite is het dus een beetje een storm in een glas water ... O-)

Wel de vraag of de Xiaomi handtekening controle wel robuust is. Omdat er geen technische details zijn, kunnen we dat niet controleren.

En uiteraard goed voor de gebruiker dat de app zo verwijderbaar is _/-\o_
aval0ne @Armin24 september 2016 10:35
In feite is het dus een beetje een storm in een glas water ... O-)
Helemaal geen storm in een glas water anders zouden ze de app niet verwijderen natuurlijk.
Anoniem: 138895 @aval0ne24 september 2016 13:07
Die conclusie kun je zo niet trekken. Als consumenten hysterisch worden van een achtergrond plaatje omdat ze denken dat het spionage technologie is van marsmannetjes, kan ik me voorstellen dat een bedrijf pragmatisch denkt en gewoon het plaatje verwijderd om verdachtmakingen te stoppen. Dan zie jij dit als bevestiging van de theorie.

Los daarvan vind ik alle leverancier specifieke componenten verdacht. Ik wordt gek van de Sony apps in standaard Xperia rom. En nu ook van Windows 10. Wetgeving moet ingrijpen want het gaat mij allemaal al veel te ver. Wetgeving zou verplicht moeten stellen dat leveranciers alleen stock rom mogen leveren en alle addons standaard verwijderbaar moeten maken zoals Microsoft en internet Explorer en media player.
Jaahp @Armin24 september 2016 12:21
Het gebeurt al dus het is OK? Dat gaat toch nergens over.

Ik wil niet dat mijn telefoon naar enige server pollt om dan zonder mijn toestemming arbitraire code uit te voeren, dat is in geen geval OK.
darasta 23 september 2016 18:55
Ben wel benieuwd of dit inderdaad alleen een actie is van xiaomi.eu of dat de app ook meteen uit de officiële MIUI roms zijn gehaald.
Helaas draai ik zelf de xiaomi.eu ROM, dus kan hier verder niets over zeggen behalve dan dat deze hem inderdaad niet meer heeft.

[Reactie gewijzigd door darasta op 27 juli 2024 23:27]

dutchgio
@darasta23 september 2016 19:10
Xiaomi.eu heeft het vermeld in de changelog, zij hebben het specifiek zelf verwijderd.
Xiaomi zelf heeft er helemaal niks over genoemd, geen enkele mededeling. Daar zit het dus ook nog gewoon in. Vanaf 16.9.15 is de Xiaomi.eu 'analytics-vrij'.

Zie ook hier, Xiaomi heeft het zelf niet verwijderd, qua vergelijking met Xiaomi.eu:
Niet:
http://en.miui.com/thread-361791-1-1.html
Wel:
https://xiaomi.eu/community/threads/6-9-15-19.34208/

[Reactie gewijzigd door dutchgio op 27 juli 2024 23:27]

t_captain 23 september 2016 19:20
Ook fijn bij data roaming. Naast de andere bezwaren natuurlijk.
John Rambo 23 september 2016 19:55
Ik heb mijn Redmi Note 3 Pro SE even geüpdate naar de meest recente versie maar als ik onder "settings > installed apps > all" kijk zie ik hem niet staan. Weet niet of hij daarvoor wel aanwezig was. Ik draai een internationale rom van MIUI zelf, niet van xiaomi.eu
Kiswum
@John Rambo23 september 2016 22:06
Hij stond in de volgende folder van het interne geheugen: system/apps.
John Rambo @Kiswum23 september 2016 22:15
Ff gekeken, hij staat er dus nog wel in. Helaas.
Kiswum
@John Rambo24 september 2016 07:02
De (internationale) Global build loopt ongeveer 4 weken achter op de Stable Chinese build. De Stable build loopt soms 4 weken achter op de Developer / weekly Chinese en Xiaomi.eu build.

Het is niet verwonderlijk dat de app er nog steeds bij jouw telefoon in zit. Ik ben vooral benieuwd of mensen de Chinese Developer build hebben gedraaid afgelopen maandag of woensdag (vanwege vakantie in China kwam de 6.9.15 build uit op 19 september en niet op 15 september).
jelleeelco @John Rambo24 september 2016 00:08
Vraagje...heb je de Kate gekocht? Met band 20? Zo ja, waar?
Alvast bedankt!
John Rambo @jelleeelco24 september 2016 00:20
Geekbuying
jbhc 23 september 2016 18:41
Mooi want die analytics-app zorgt bij mij voor 5MB dataverbruik per dag.
Overigens was deze app er in de ROM van vorige week (6.9.15 / 19) al uitgehaald.
De nieuwe weekly is 6.9.22

Voor zover ik de releasenotes trouwens begrijp is de app er in de orginele rom ook al uitgehaald. De miui.eu wijzigingen staan onder "Our ROM features" De changelog is volgens mij van de global.

[Reactie gewijzigd door jbhc op 27 juli 2024 23:27]

dutchgio
@jbhc23 september 2016 19:11
Xiaomi.eu is gebaseerd op de China Dev rom, dus hebben ook die changelog naast hun eigen wijzigingen. Die van AnalyticsCore is van hun zelf, dus ik verwacht dat het in de originele Xiaomi rom er nog gewoon in zit. Xiaomi heeft ook geen mededeling m.b.t. die app gedaan nadat het bekend werd vorige week.
-Cn- @SampleUser23 september 2016 18:48
Ik vind 150MB in een maand voor iets wat ik helemaal niet wil op mijn mobiel anders nog altijd best een hoop. Ook als je een 1GB databundel hebt is dit een best groot deel ongewenste dataverbruik.
Armin
@-Cn-23 september 2016 19:06
De vraag is natuurlijk wel of het enkel 5MB bij WiFi is, of ook 5MB bij cellular. Vaak zijn dit soort apps slim en sturen enkel bij WiFi en connectie met de AC-adapter.
jbhc @Armin23 september 2016 19:24
's Nachts staat hier thuis de WIFI uit. Het viel mij op dat ik na een update van een week of 2 geleden opeens mijn dag begon met ongeveer 5MB verbruikte data. De App is dus niet intelligent.
FreshMaker @jbhc23 september 2016 19:30
Zeker op de MIUI roms is het goed mogelijk om een firewall te installeren.
Als je dan weet waar dat verbruik zit, en je hebt er last van kun je dat eenvoudig blokkeren.

Ik ben van mening dat er helemaal niet zo'n app op zou moeten staan, maar een beetje zelfredzaamheid is ook niet verkeerd.
Niet alles hoeft door een externe partij aangeleverd te worden toch?
Op al mijn mobile devices hou ik in de gaten waar het gebruik zit, en als het mij niet bevalt, gaat het gewoon 'uit' of naar 127.0.0.1
jbhc @SampleUser23 september 2016 18:56
Als je maar een 500MB abbo hebt is het anders idioot veel voor iets wat je niet gebruikt.
PerlinNoise 23 september 2016 20:00
Mijn Redmi Note 3 Pro is onderweg uit China. Meteen maar een xiaomi.eu rom op pleuren... :)
DimitryK 23 september 2016 20:19
Xiaomi zelf heeft al gereageerd op de aanwezigheid van de app.
Lees hier: http://en.miui.com/forum....t&ptid=184042&pid=6552019

Volgens Xiaomi zelf is de applicatie veilig:
[quote] "As a security measure, MIUI checks the signature of the Analytics.apk app during installation or upgrade to ensure that only the APK with the official and correct signature will be installed,"[/quote]

Nevermind, niet goed gelezen in het originele bericht. Stond een link naar dezelfde statement in..

[Reactie gewijzigd door DimitryK op 27 juli 2024 23:27]

dutchgio
23 september 2016 19:08
Dat was overigens vorige week al, versienummer is ook niet 6.15.9 maar 6.9.15. ^als in 2016, 9 als in september en de 15 de dag in september.
De versie van deze week is dan ook .22.

Vrij snel gehandeld dus, en zonder verklaring wat Xiaomi hiermee doet, die blijft stil, is dit een prima oplossing. Ik draaide toch al de Xiaomi.eu rom in verband met multilanguage ondersteuning.
Auteurduqu @dutchgio23 september 2016 19:14
Dank, heb het aangepast.
dutchgio
@Arfman23 september 2016 20:43
Het is geen malware. Neem je ook voorbarige conclusies zonder iets meer achtergrond in je voorspellingsbedrijfje? Laat dan maar zitten... |:(
arnovos @dutchgio24 september 2016 11:55
Bij het voorspellen van de toekomst is logischerwijs elke conclusie of voorspelling voorbarig... ;) Maar goed, dat is wel off topic.
Arfman 23 september 2016 20:37
Voor mij nogmaals de bevestiging om maar geen Chinese telefoons in huis te halen, ondanks dat ze soms best leuke hardware hebben.
xxxneoxxx @Arfman25 september 2016 10:27
Helaas is wel gebleken dat zo'n beetje elk merk zulke praktijken er op na houdt tegenwoordig. ;(
aval0ne @stewie24 september 2016 10:40
Wat een droevige post, het over Apple schurft hebben, terwijl het hier helemaal niet over Apple gaat. Feit blijft dat Xiaomi negatief in het nieuws blijft komen en iedere keer wordt het gefixed maar wie weet hoeveel van die dingen zitten er nog in? Gewoon wegblijven dus.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq