Soltanto ieri vi avevamo parlato di un’analisi messa a punto da un ricercatore di sicurezza: nel mirino la MIUI, ROM tipica degli smartphone Xiaomi. In particolare l’analisi ha riguardato un’app, AnalyticsCore, che con le apparenti dinamiche di aggiornamento era stata giudicata una potenziale backdoor.
Il ricercatore aveva inoltre evidenziato come questa caratteristica potesse essere, almeno in apparenza, sfruttata da malintenzionati. Troverete maggiori dettagli nel nostro precedente articolo.
Il comunicato di Xiaomi
La risposta di Xiaomi non si è fatta attendere molto, viste anche le numerose dita puntate ormai sulla ROM. Il big cinese ha spiegato che l’app contestata è effettivamente uno strumento di analisi attitudinale per migliorare l’esperienza utente, ma che viene aggiornata previa verifica di firma digitale e soltanto tramite HTTPS.
AnalyticsCore è una componente di sistema integrata nella MIUI, usata da altre componenti per l’analisi dei dati finalizzata al miglioramento dell’esperienza utente, come MIUI Error Analytics.
Come misura di sicurezza, la MIUI verifica la firma dell’app Analytics durante l’installazione o l’aggiornamento; questo per assicurarsi che solo l’APK con la firma ufficiale e corretta venga installata.
Qualsiasi APK senza firma ufficiale non verrà installata. Poiché AnalyticsCore è un punto chiave per il miglioramento dell’esperienza dell’utente, supporta una funzionalità di auto-aggiornamento.
A partire dalla MIUI V7.3 rilasciata ad Aprile/Maggio, è stato attivato HTTPS per mettere ulteriormente in sicurezza il trasferimento dei dati e per prevenire attacchi man-in-the-middle.
Dunque un dubbio sciolto ed un potenziale preoccupante pericolo che, per fortuna, non si è rivelato tale.
