Приложение Mab Xiaomi — шпионская программа, которую невозможно удалить

Максим Wood

23.12.2017

Смартфоны Xiaomi самовольно скачивают и запускают программу Mab, удалить которую проблематично.

Что это за приложение, как от него избавиться, запретить выходить в сеть или самовольно устанавливаться?

Cодержание:

О смартфонах Xiaomi
Глаз большого брата?
Что делать?
Есть ли решение?

О смартфонах Xiaomi

Компания выпускает неплохие девайсы с прошивкой на основе Android с открытыми исходниками под названием MIUI.

Она отличается отсутствием меню приложений и совмещением в себе некоторых возможностей iOS и Android и поставляется в двух вариантах:

локальная – сервисы от Google заменены аналогичными китайскими программами и службами, доступна только на английском и китайском языках;
международная – сервисы Google присутствуют, интерфейс переведён почти на 50 языков.

к содержанию ↑

Глаз большого брата?

Раньше пользователи отмечали, что их устройства могут жить чуть ли не полноценной самостоятельной жизнью.

Например, только приобретённый телефон при первом подключении к сети скачивает файл AnalyticsCore.apk.

После установки программа постоянно работает в фоне, обновляется, что-то отсылает на серверы компании и самостоятельно восстанавливается после удаления.

Все вопросы о предназначении софта представители компании игнорируют.

Специалисты в области безопасности обнаружили, что под название AnalyticsCore.apk на телефон может быть загружена любая программа, в том числе шпионская или вредоносная. Это дарит широкое поле деятельности для спецслужб… или киберпреступников, да и скачивание осуществляется по незашифрованному соединению.

Рис. 1 – Ненужный сервис в списке активных

Вторая проблема со смартфонами – наличие неизвестного сервиса Mab, способного соединяться с серверами Xiaomi после появления интернета, скачивать какие-то файлы размером в несколько килобайт и отправлять что-то разработчику.

Если устройство соединяется с сетью впервые, сначала загружается архив с программой неизвестного назначения.

Предположительно, она делится с компанией Xiaomi конфиденциальной информацией. При этом, как отмечают специалисты, на серверы отправляется:

место расположения пользователя, даже если GPS отключён;
IMEI устройства;
MAC-адрес;
Nonce.

Многие пользователи пишут, что программа способна активировать голосовой поиск от Google в любое время, а это ещё и в постоянные фразы «Отсутствует подключение…» выливается, когда интернета нет.

Не напоминает Скайнет?

В отличие от AnalyticsCore, эта утилита осуществляет подключения по зашифрованном каналу, поэтому разобраться, какие ещё сведения передаются с телефона, практически невозможно. Предположительно, это содержимое адресной книги, фото, видео, история переписки в программах и т. д. Запрет подобным сервисам работать с сетью и отключение синхронизации не препятствовали появлению стороннего трафика (который создаёт приложение).

Рис. 2 – Сведения

к содержанию ↑

Что делать?

Что такое Mab на устройствах от Xiaomi за дверью офисов компании достоверно не известно, хотя всё указывает на сервис для слежки за пользователем.

Как же избавиться от постороннего трафика и обезопасить себя?

Хорошо бы заморозить его, например, через Titanium Backup, или запретить сервису и ему подобным работать с сетью или соединяться с серверами Xiaomi, но:

степень интеграции приложения (и ему подобных) в операционную систему такова, что заморозка одного Mab мало что даст (сторонний трафик не исчезнет, а следственно, личные данные будут утекать к Xiaomi), а блокировка многих сервисов скажется на работоспособности устройства;
установить фильтр по именам и исключить этим связь с хостами не получится, ведь имена хостов могут динамически генерироваться;
из-за наличия UID sharing в Андроид под одним идентификатором в сети может работать несколько приложений;
почти все брандмауэры, позволяющие отфильтровать сетевой трафик, работают через VPN, что не гарантирует блокировку выходов в сеть для Mab и ему подобных процессов.

Читайте также:

Обзор Xiaomi Yi Action Camera (Basic Edition): «Убийца» GoPro

Умный браслет Xiaomi amazfit: преимущества и недостатки, обзор

Xiaomi redmi note 4x 4gb 64gb: надежный китаец в ваших руках — основные характеристики и обзор

Ноутбук Xiaomi Mi Notebook Air 13.3 обзор надежного китайского [среднячка]

Xiaomi Roidmi 2S: Лучший FM-трансмиттер для авто

к содержанию ↑

Есть ли решение?

Проще всего для начинающих пользователей заполнить файл /etc/hosts записями с именами серверов и IP 127.0.0.1, наподобие: «127.0.0.1 www.mi.com». Отследить, какой процесс к какому хосту подключается можно через тот же Titanium Backup. Для освоения её функционала и получения root-прав придётся потратить немного времени.

Недостатки:

нужно вручную отлавливать все подозрительные адреса и самостоятельно добавлять их в hosts;
нельзя заблокировать доступ к хостам, имена которых генерируются динамически.

Рис. 3 – Блокируем соединение с ненужными хостами

Второй способ решения проблемы – фильтрация отправки пакетов для статичных хостов.

Третий вариант – добавление правил для фильтрации DNS-запросов к ненужным серверам.

Четвёртый – блокируем MI-аккаунт. При наличии учётной записи синхронизация активируется автоматически, и все фото, видео, сохранённые пароли, содержимое телефонной книги, история переписки и прочая святая святых окажется на серверах разработчиков Xiaomi.

Последний способ решения проблемы с программой и ей подобными службами – установка фильтра на выход в сеть по UID.

Только тут могут проблемы возникнуть: как сказано выше, под одним ID в сеть может выйти и три программы.

Официального комментария о том, что собой представляет приложение Mab, как и AnalyticsCore, нет, зато есть все основания считать их шпионским ПО. Удалить сервис не получится, а вот ограничить ему доступ в интернет при достаточной подготовке пользователя можно, но для этого придётся попотеть.