Додаток для смарт-лампи Xiaomi Yeelight викрили в шпигунстві

27.12.2017 | 10:41
Додаток для настільних смарт-світильників з підтримкою Bluetooth Xiaomi Yeelight збирає різні дані, в тому числі інформацію про MAC-адресу, SSID, доступних бездротових мережах і паролі, а також вміст журналу логів, і відправляє їх на сервери Xiaomi в Китаї, з'ясував розробник, використовує псевдонім Peadar.

Йдеться про модель Xiaomi Yeelight XMCTD01YL. Проаналізувавши Android-додаток, що використовується для управління світильником, розробник виявив ряд цікавих моментів. Зокрема, додаток проводило перевірку на наявність доступних мереж Wi-Fi (досить дивно, враховуючи, що підключення смартфона здійснюється по Bluetooth), а також просило підозрілі дозволу, що не відповідають функціоналу пристрою. Наприклад, дозвіл на аутентифікацію акаунтів (дозволяє додатку використовувати можливості диспетчера облікових записів, в тому числі створювати акаунти і встановлювати паролі), завантаження без повідомлення, доступ до функцій дзвінків і даними геолокації, читання і запис налаштувань системи, видалення процесів інших додатків, а також вилучення інформації про поточні або недавніх завданнях і запис аудіо.

У процесі аналізу дослідник виявив кілька сервісів - WifiDeviceScan, XMPushService, MiiLocalAPI і LogCollectionService. Перший перевіряє наявність маршрутизаторів Xiaomi Mi, а три інших облямовують дані, пов'язані з мережею Wi-Fi, координати розташування, вміст журналу логів, а також інформацію про пристрої Mi, включаючи використовуваний вид шифрування, на сервери Xiaomi. За словами розробника, тільки дані про MAC-адресу та SSID відправляються по HTTPS, інші - по протоколу HTTP.

У жовтні нинішнього року стало відомо про апаратному збої в «розумних» колонках Google Home Mini, в результаті якого пристрій реагував на випадкові шуми і записували їх по кілька тисяч разів в день.
Xiaomi Yeelight, шпигунство
По матеріалам securitylab.ru
Стрічка новин: FacebookLiveJournalЯндекс

Коментарі (0)
Залиште коментар:Captchaвідновити код перевірки