Bukan rahasia lagi kalau setiap pembuat smartphone berani memberikan pengalaman lebih dengan membenamkan aplikasi-aplikasi khusus pada smartphone buatannya. Baik itu yang kasat mata berguna untuk keperluan sehari-hari, atau aplikasi yang berjalan dibelakang layar melakukan hal-hal yang ‘berguna’.

Salah satunya adalah Xiaomi. Xiaomi membuat ROM baru bernama MIUI dari Android. Beberapa fasilitas dan aplikasi khusus dibenamkan Xiaomi ke ROM Android buatannya itu. Nah, adakah yang menarik dari langkah Xiaomi itu?

Ada. Sekelompok peneliti keamanan dari Belanda, membongkar dan mengamati jalannya semua aplikasi dan services yang ada di Xiaomi Mi4 dan mendapati satu aplikasi yang berjalan 24 jam nonstop tiap hari. Dia adalah AnalyticsCore.apk. AnalyticsCore.apk ini bahkan akan muncul kembali meskipun sudah dihapus secara manual.

Hasil dari reverse engineering yang dilakukan oleh salah satu tim tersebut, tepatnya oleh Thijs Broenink, didapati bahwa AnalyticsCore.apk memang melakukan proses pengambilan data-data analisis dan pengiriman data tersebut ke server Xiaomi. Data apa saja? hampir semua data hardware penting seperti IMEI, Model, MAC Address, Nonce, Package dan signature khusus.

Yang paling mengejutkan lagi, ternyata proses reinstall dari aplikasi AnalyticsCore.apk ini sangatlah sederhana dan rawan sekali disalahgunakan orang. Xiaomi tampaknya hanya mengambil cara mudahnya saja, menembak satu URL di server mereka dan mendownload file analytics.apk.

Konyolnya lagi, apapun yang didownload dari server selama itu bernama ‘analytics.apk’ akan dipasang di smartphone. Ya, tanpa autentifikasi. Inilah yang sangat membahayakan, serangan man in the middle bisa saja dilancarkan hacker usil!

Solusi Sementara

Sampai saat ini belum ada patch atau update dari Xiaomi terkait ‘bug’ atau ‘feature’ ini. Untuk sementara, yang bisa dilakukan adalah mengaktifkan aplikasi firewall dan memblokir semua domain Xiaomi untuk sementara.

Sumber: TheHackerNews.com