Backdoor in Xiaomi Smartphones. Skandal! Oder nicht?

b2ap3_large_Bildschirmfoto-2016-09-16-um-20.21.21 Xiaomi Smartphones mit Backdoor

Die Schlagzeile des Tages, nicht nur in der China-Blase, sondern auch bei den Mainstreamern da draußen: Xiaomi Smartphones beinhalten eine Hintertür aka Backdoor. Die Anschuldigung: Jede x-beliebige App kann darüber auf den Geräten der Endkunden installiert und die Backdoor für Man in the Middle Attacken ausgenutzt werden.

Quelle dieser Neuigkeit ist ein Informatikstudent aus den Niederlanden. Dieser ist auf eine App in MIUI gestoßen, welche auf den Namen "AnalyticsCore" hört. Aus Neugierde hat er diese dekompiliert und sich den Quellcode einmal genauer angesehen. Was er dabei herausgefunden hat? Die App kontaktiert einen Xiaomi Server, übermittelt einige Details zum Smartphone und beinhaltet eine Funktion zum Herunterladen und Installieren von APK Dateien. Und das war es dann auch schon.

Und genau daraus wurde auf dem Weg durch die verschiedensten Blogs nun eine ganz wilde Geschichte zusammengeschustert, anstatt erstmal auf eine Stellungnahme von Xiaomi zu warten. So ist auf vielen Seiten die Rede davon, dass Xiaomi hier jede App installieren kann, die sie möchten oder Angreifer den Mechanismus ausnützen könnten, um eigene APKs mit Schadsoftware zu installieren. Außerdem wird von einigen Seiten behauptet, dass die Backdoor nicht abschaltbar wäre. Wichtig ist hierbei aber zu wissen, dass es sich nur um Spekulationen handelt. Weder der Informatikstudent (eigene Aussage!) noch irgendeine der anderen Seiten, die darüber bisher berichtet haben, wissen, was genau der Zweck von AnalyticsCore ist und wie sich dieser Dienst exakt in MIUI integriert.

Stellungname von Xiaomi

So, kommen wir dann mal zu handfesteren Infos. Was hat denn Xiaomi dazu zu sagen? Mittlerweile gibt es vom Unternehmen eine Stellungnahme. Darin heißt es, dass AnalyticsCore ein Dienst ist, mit dem man Infos zur Nutzung von Xiaomi Smartphones sammelt, um MIUI zu verbessern. Die Funktion zum Nachinstallieren von APK Dateien dient zur Aktualisierung der Komponente selbst. Weiterhin stellt Xiaomi klar, dass diese Funktion eben keine Sicherheitslücke darstellt. Die APK Dateien verfügen über eine Signatur. Versucht ein Angreifer die APK Datei auszutauschen, würde die Installation aufgrund der falschen Signatur scheitern. Zudem gibt Xiaomi an, dass man seit MIUI 7.3 auf eine verschlüsselte HTTPS Verbindung zum Herunterladen der Updates setzt.

Der Witz an der Sache

Und jetzt noch ein Kommentar mit unserer Meinung. Wisst ihr warum diese Geschichte einfach nur lächerlich ist? Dafür haben wir gleich vier Gründe auf Lager:

1. Was Xiaomi hier macht ist etwas völlig Normales. In ziemlich allen Custom ROMs dürften sich derlei Funktionen finden. Bei euch in bestimmtem Umfang zu schnüffeln, um Informationen zur Verbesserung des Produktes zu sammeln, bietet für das Unternehmen einen enormen Mehrwert. Natürlich sollte es dafür aber eine Opt-Out Funktion geben - was bei MIUI der Fall ist. 

2. Android verfügt von Haus aus über eine Backdoor für Google. Über diese kann Google Apps von euren Smartphones löschen, aber auch das Gegenteil ist möglich. Damit handelt es sich hier um ein noch viel mächtigeres Tool als die Analyse-App von Xiaomi. Dies war noch nie ein Kritikpunkt.

3. Die vom Informatikstudent an den Pranger gestellte AnalyticsCore App ist nur aktiv, wenn man beim Einrichten des Xiaomi Smartphones dem Sammeln von Informationen zur Verbesserung von MIUI zugestimmt hat. Ist das nicht der Fall, ist auch die angebliche Backdoor nicht aktiv. Hier hätte der betreffende ruhig etwas genauer nachschauen dürfen, bevor man wilde Behauptungen aufstellt, oder?

4. Mit Punkt 3 ist auch auf einen Schlag klar, was hier von einigen Seiten für eine unbegründete Panikmache veranstaltet wird. Die Backdoor, die eigentlich gar keine ist, ist sehr wohl abschaltbar: Durch einen simplen Opt-Out aus dem Analytics Programm von Xiaomi. Und wer auf Nummer Sicher gehen will, der blockt eben alle Verbindungen zu Xiaomi per Root Zugriff.

Quelle(n):