Приложение quick apps на Xiaomi: что это, можно ли удалить

Поговорим о таком приложении на телефонах Xiaomi, как Quick Apps. Чтобы его найти, выполните переход: Настройки > Системные приложения > Quick Apps.

В норме каждое установленное на смартфон приложение можно деинсталлировать. Но только не Quick Apps. Так как это интегрированная в систему программа, она не удаляется стандартным способом, опции «Удалить» для нее в меню нет. Но об этом чуть позднее, а сейчас хочется разобрать подробнее, что это за приложение.

описание

Если взглянуть на разрешения, которыми оперирует Quick Apps, можно удивиться: в целом таких разрешений насчитывается более 55. И некоторые из них заключаются в установке приложений без уведомления пользователя, получение в свое распоряжение пользовательских IMEI, номеров SIM и IMSI, информации о сотовых вышках, включая такие данные как MNC, MCC. «Быстрые приложения», кроме того, собирают пользовательские данные, хранящиеся на телефоне, использует их, может контролировать запись аудио, видео и совершаемые/получаемые пользователем звонки, а затем всю собранную информацию сгружает во временное хранилище. Затем эти данные отправляются программой в определенные хранилища.

Некоторые из особо любопытных технически подкованных владельцев Xiaomi заинтересовались загадочным приложением и «разобрали его на части», чтобы детально познакомиться с ним и понять, что оно на самом деле вытворяет с системой, приложениями и пользовательскими данными. Первым шагом стала декомпиляция и просмотр исходного кода. Сразу выяснилось, что некоторые коды крайне уязвимы для определенных видов хакерских атак. Злоумышленники могут легко использовать их для взлома других программ, установленных на телефоне.

сколько потребляет

Проблема №1: Приложение имеет более 55 разрешений на доступ, использование и архивирование пользовательской информации

Quick Apps использует слишком много разрешений с высоким уровнем полномочий. Например, оно получает право устанавливать (без ведома и согласия пользователя) другие приложения, загружая их «по воздуху» (OTA); может читать записывать и стримить «налево» видеозвонки и чаты, которые производятся в прямом эфире. Также оно может устраивать так называемые MITM-атаки, подключаясь к каналу передачи информации между двумя пользователями, и при этом в фоновом режиме может считывать и использовать для аутентификации регистрационные данные пользователей.

Проблема №2: Приложение использует алгоритм “SHA1RSA”, чтобы иметь возможность генерирования подписанного сертификата. Это очень опасная уязвимость, так как алгоритм “SHA1RSA” в наше время потерял надежность и часто не способен устоять перед атаками, называемыми коллизиями.

уязвимости

В чем заключается уязвимость? Что такое коллизия?

Дело касается криптографии, так как SHA1RSA – это алгоритм криптографического хеширования. Подобные алгоритмы генерируют хеш, то есть особое значение, для каждого файла. Можно провести такую аналогию: каждое приложение для OS Android должно иметь подпись, чтобы подтвердить личность владельца. Эта подпись создается с использованием криптографического алгоритма. Конфликт происходит, когда два разных файла или сообщения создают одинаковый криптографический хеш. Это означает, что злоумышленник может создать идентичный хеш и выдавать себя за владельца программы, которым он на самом деле не является.

Проблема №3: Quick App может устанавливать на Xiaomi незарегистрированные приложения без согласия пользователя.

Эта программа может самостоятельно установить незарегистрированное приложение без согласия пользователя и сохранить логи, а также очистить все уведомления, имеющие отношение к установке и удалению приложения.

вредно или полезно

Проблема № 4: Приложение отправляет не деперсонифицированные исходные данные SQL на серверную базу данных, которая использует базу данных SQLite и выполняет необработанный SQL-запрос.

Такие действия могут привести к атаке путем внедрения кода SQL. Недоверяемый источник, например, пользователь, с помощью манипуляций с необработанными SQL-запросами может спровоцировать эту атаку. К тому же в БД должна быть записана зашифрованная информация, доступ к которой ограничен.

Вы когда-нибудь задумывались о том, что происходит в операционной системе MIUI, если вы пользуетесь ей, не создав MI-аккаунт?

Проблема № 5. Приложение Quick App создает гостевой профиль для ваших данных, собирает их и отправляет на оконечные терминалы Xiaomi.

Приложение создает пользователя-гостя на https://v.id.mi.com и сохраняет MAC-адрес его устройства, Bluetooth ID и Android ID.

кому и куда отправляет данные

Что делают в Сяоми с этими данными?

Xiaomi использует сервис Druid https://druid.apache.org/technology в качестве аналитического инструмента для целей мониторинга. Скорее всего, задачей мониторинга в первую очередь является реклама. То есть, этот сервис собирает информацию о том, услугами какого оператора пользуется владелец телефона, какие приложения устанавливает, какие веб-сайты посещает и какие страницы просматривает. Сюда же добавляются сведения о контактах, которым пользователь чаще всего звонит, места, которые он часто посещает и т.д.

Quick Apps загружает пользовательские данные на аналитическую панель управления, а затем, на экране блокировки вы видите рекламу, виджеты новостей, объявления в браузере, всплывающие окна с предложениями и т. д.

Как удалить Quick Apps

В начале статьи мы говорили, что, поскольку это системное приложение, убрать его обычным образом не получится. Что для этого нужно?

  1. Использовать Xiaomi ADB Fastboot Tools.

Для начала придется подготовить телефон. Имеется в виду, что нужно включить на нем режим разработчика. Для этого открываем «Настройки», выбираем пункт «О телефоне» и нажимаем подряд семь раз строку с версией MIUI.

в общем не нужно или нужно

Система должна прислать уведомление о том, что режим разработчика активирован. Чтобы проверить, так ли это, заходим снова в настройки: «Настройки»-> «Расширенные настройки». Если видим, что появился раздел «Для разработчиков», значит этот режим включен.

Заходим в меню «Режима для разработчиков». Тут нужно включить «Отладку по USB». На этом подготовительный этап закончен. Телефон можно подключать к компьютеру.

  1. Работа с Xiaomi ADB Fastboot Tools

Теперь нужно скачать и установить на компьютер программу Xiaomi_ADB_Fastboot_Tools_2.3.1. Это инструмент, с помощью которого можно удалять системные (и не только) приложения.

После разархивирования и запуска исполняемого файла XiaomiADBFastbootTools.exe нажимаем кнопку “Debloater”. Появится окно, в котором будет запрос на отладку по USB. Нажимаем “OK”. После этого появится новое окно со списком приложений. Здесь выбираем Quick Apps и нажимаем кнопку “Uninstall”. Если программы в списке нет, добавляем ее, используя кнопку “Add custom apps”.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Еще нет голосов, будьте первыми)
Загрузка...

Оставьте Ваш отзыв

Следи за нами в FaceBook.
Все новые статьи и много уникального!
Спасибо, не показывайте мне эту штуку больше!
Друг, не уходи!
Друг, не уходи!