Приложение Mab Xiaomi — шпионская программа, которую невозможно удалить

После навязчивых требований системы об обновлении ПО у большинства владельцев смартфонов Xiaomi появляется такая неизведанная программа, как Mab. Что это за приложение доподлинно известно только разработчикам. Поэтому первым делом заглянули на официальный сайт компании. Что из этого получилось, читайте далее.

Узнать о наличии или отсутствии Mab на устройстве можно, заглянув в настройки аппарата и открыв там папку «Все приложения».

image

Все версии о программе

Приложение занимает 41,15 Мб и не запускалось практически ни у кого из пользователей. Да и как оно запускается понять довольно-таки сложно. При выборе Mab на экране телефона появляются его технические характеристики – версия 1.3.3 и все те же 41,15 Мб. Здесь же возможно включить или отключить его автозапуск.

image

Софт слишком много «сам себе позволяет». В папке «Разрешения приложений» видно, что ему доступны практически все личные данные владельцев устройства: сообщения, снимки с камеры, список контактов, местоположение, объем памяти, вызовы и еще одно разрешение – Mi Pay.

Помимо этого, программа имеет еще шесть разрешений:

  • изменять настройки системы;
  • включать и отключать интернет-соединение;
  • включать и отключать Bluetooth;
  • отображаться на экране блокировки;
  • запускаться в фоновом режиме;
  • отображаться на всплывающих окнах.

Естественно, после обнаружения на своем Андроиде неизвестного приложения Mab, владельцы Xiaomi задались вопросом «что это такое?». Поэтому в единодушном порыве ринулись на поиски ответа на Форум MIUI. Но, введя запрос «mab» в поисковой строке, пользователи увидели такие же недоумевающие вопросы.

На обсуждениях форума было выдвинуто несколько версий о предназначении приложения практически на всех прошивках Miui.

  1. Mab регулирует работу Mi аккаунта, отвечает за его логин, аутентификацию и паспорт. Но при остановке его работы, функции Mi аккаунта никак не нарушаются.
  2. При совершении владельцем устройства покупок в интернете, программа участвует в идентификации.
  3. Защищает систему от вирусов.
  4. Блокирует рекламные объявления.
  5. Программа разработана для повышения популярности интернет-ресурсов, преимущественно азиатских, используемых для онлайн покупок.
  6. Mab служит для удаленного управления устройством.
  7. Программа-шпион для контроля за личными данными владельцев устройств Xiaomi.

Учитывая, что при подключении интернет соединения, Mab начинает скачивать небольшие файлы и направлять их разработчикам. Отсюда подозрения о его шпионском предназначении нельзя назвать безосновательными. А тот факт, что при подключении к интернету устройства впервые происходит загрузка неизвестного архива, лишь укрепляет пользователей в своих подозрениях.

Помимо этого, существуют опасения, что программа является вирусом. Владельцы смартфонов жалуются на самостоятельный запуск голосового поиска Google при отключенном интернете.

Если хотите удалить

Для удаления Маб пользователи Андроида используют различные способы, которые дают лишь временный эффект или не дают его вообще. Приложение «сидит» глубоко внутри системы, и после его стирания появляется снова, так как данные о телефоне ежедневно направляются на общий сервер Xiaomi, которые повторно закачивают софт.

Некоторые антивирусы распознают программу, как вредоносную, и сами ее удаляют. Но через пару дней она снова оказывается в телефоне.

Одним из вариантов удаления — это прибегнуть к помощи глубокой очистки, а чтобы избежать повторного скачивания нужно отменить автоматическое обновление системы.

Некоторые пользователи считают, что если убрать в приложении все разрешения, то оно станет безопасным. Сделать это, конечно, можно без проблем, но 100% гарантий, что тогда программа будет обезврежена нет.

Решение проблемы

  1. Для приостановки работы непонятного софта можно задействовать такую программу, как Titanium Backup. Работа вредоносного приложения будет заморожена, при этом Маб останется в телефоне, что позволит избежать его повторной закачки.
  2. Второй надежный способ удаления на моделях Xiaomi Redmi – это удаление файла base.apk по имени Mab по адресу в телефоне data/app/com.xiaomi.ab-1/.
  3. Установка фильтра по именам для выхода в интернет по UID.
  4. Блокировка Mi-аккаунта. В этом случае все личные данные остаются в памяти телефона и на общий сервер больше приложение их не отправляет.
  5. Фильтрация пакетов, отправляемых на статичные хосты. Препятствием для борьбы с проблемой выступает невозможность блокировки хостов, которые генерируются динамически.

Так как разработчики смартфонов Xiaomi Redmi не дают никаких комментариев по поводу предназначения Mab, то пользователям остается только гадать о его функциях и бороться с ним всеми доступными способами. Окончательно удалить программу весьма проблематично, но вот внести разлад в ее работу вполне возможно.

Mab – это встроенная утилита на мобильных устройствах Ксиоми, задача которого заключается в распространении рекламных предложений в операционной системе MIUI. Софт интегрирован в прошивку и не может быть удалён естественным образом. Но далее мы рассмотрим несколько способов его блокировки.

Обратите внимание, что если Ваш телефон работает на чистом Андроиде, то Вы вряд ли столкнётесь с подобным приложением. Да и рекламы назойливой повсеместно не будете видеть. «МАБ» встречается исключительно на аппаратах под управлением оболочки МиЮАй.

В одном из видео на нашем Youtube-канале мы делились информацией об отключении объявлений на Xiaomi. Советуем посмотреть:

Mab относиться к категории шпионского ПО, которое следит за поведением пользователя, изучает его интересы, отправляет данные на серверы разработчиков, чтобы после детального анализа отображать тематические баннеры.

К слову, подобное поведение характерно для большинства современных сервисов на Android. Тот же Google собирает информацию, чтобы актуализировать показ рекламы, новостей на смартфоне.

Mab на Андроиде Xiaomi постоянно работает в фоновом режиме, потребляет трафик при подключении к интернету. Попытки остановить его срабатывают лишь до следующего обновления MIUI. Сразу после этого утилита снова активизируется и нужно проделывать манипуляции снова. Но разработчики «не пальцем сделаны», они анализируют свои промахи и стараются оградить МАБ от последующих блокировок со стороны владельцев гаджетов.

Некоторые эксперты в области мобильной безопасности уверены, что указанный софт способен не только следить и отправлять инфо на удалённые серверы, но также инициировать установку других приложений в скрытом режиме. А значит, мы не можем даже подозревать, что происходит за кулисами, какой софт шпионит, куда передаются личные данные.

Не зря же «конспирологи» высказывают мнение о принадлежности компании Сяоми к китайским спецслужбам. Видимо, «Поднебесная» решила покорять мир таким способом.

Еще народ начал замечать – Mab обращается к голосовому поиску Гугл, включает его периодически. И если в этот момент Вы что-то произносите, да еще и к интернету подключены, то слова могут передаваться в «неизвестном направлении». Просто жуть!

Но самое интересное, что любые попытки отследить поток данных заканчиваются провалом, поскольку передача шифруется. Никак не получается узнать точно, какие файлы отправляются в БД Xiaomi. На форумах, посвященных мобильной тематике, пользователи сходятся во мнении, что Сяоми считывает контакты, SMS, объекты галереи, историю общения в мессенджерах и социальных сетях.

Полезный контент:

  • Как восстановить удаленные файлы на устройстве Android
  • LTE- что это такое в телефоне, для чего и как пользоваться
  • Как удалить опасный вирус с телефона: простые способы
  • Ошибка «Ожидание скачивания» Play Market, что делать и как исправить?
  • Какой фонарик лучше скачать на устройство Android: топ лучших

Можно прибегнуть к не самому быстрому и простому методу – установить кастомную прошивку с чистим Андроидом. Но сначала потребуется разблокировать загрузчик Bootloader (на это потребуется 72 часа), инсталлировать рекавери TWRP. Потом с его помощью перепрошить гаджет. Интересуют тонкости процедуры? Смотрите следующие 2 ролика, где все манипуляции показаны на примере Ксиоми Redmi Note 4 SD 625:

Второй путь – загружаем на смарт приложение Titanium Backup, находим в перечне ненужные программы и замораживаем. Для этого действия обязательно нужны root-права. Получить их реально разными способами, отличающимися для каждой модели. Поэтому не могу привести точную инструкцию, советую поискать ответы на форуме 4PDA. Там же есть описание работы с софтом Титаниум Бэкап.

Решение №3 (также необходим рут): запускаем file-менеджер (рекомендую Root-explorer или ES Проводник), находим файл с именем «hosts» в папке «/etc» и вносим в него адреса серверов, которые стоит заблокировать. Например:

Умники из компании Сяоми периодически меняют IP и ссылки, чтобы избежать подобных блокировок. Придется постоянно следить за актуальной информацией на вышеуказанном форуме. Или же с помощью Titanium Backup время от времени просматривать – какие неизвестные процессы работают в фоне, на какие адреса они отправляют информацию. И потом вносить новые элементы в список файла hosts.

Также советуем поменьше пользоваться фирменным Mi-софтом: Community, Forum, App Market, Музыка, Видео, Браузер и т.д. По возможности – остановите их через меню приложений.

Есть еще несколько путей. Они носят обобщенный характер, могут повлечь блокировку шпионского ПО и важных модулей. Поэтому, не будем их рассматривать.

Теперь Вы знаете — Mab Xiaomi что это за программа, как пользоваться методами деактивации. Надеемся, инструкция оказалась полезной.

Смартфоны Xiaomi самовольно скачивают и запускают программу Mab, удалить которую проблематично.

Что это за приложение, как от него избавиться, запретить выходить в сеть или самовольно устанавливаться?

Cодержание:

О смартфонах Xiaomi

Компания выпускает неплохие девайсы с прошивкой на основе Android с открытыми исходниками под названием MIUI.

Она отличается отсутствием меню приложений и совмещением в себе некоторых возможностей iOS и Android и поставляется в двух вариантах:

  • локальная – сервисы от Google заменены аналогичными китайскими программами и службами, доступна только на английском и китайском языках;
  • международная – сервисы Google присутствуют, интерфейс переведён почти на 50 языков.

Глаз большого брата?

Раньше пользователи отмечали, что их устройства могут жить чуть ли не полноценной самостоятельной жизнью.

Например, только приобретённый телефон при первом подключении к сети скачивает файл AnalyticsCore.apk.

После установки программа постоянно работает в фоне, обновляется, что-то отсылает на серверы компании и самостоятельно восстанавливается после удаления.

Все вопросы о предназначении софта представители компании игнорируют.

 Специалисты в области безопасности обнаружили, что под название AnalyticsCore.apk на телефон может быть загружена любая программа, в том числе шпионская или вредоносная. Это дарит широкое поле деятельности для спецслужб… или киберпреступников, да и скачивание осуществляется по незашифрованному соединению. 

Рис. 1 – Ненужный сервис в списке активных

Вторая проблема со смартфонами – наличие неизвестного сервиса Mab, способного соединяться с серверами Xiaomi после появления интернета, скачивать какие-то файлы размером в несколько килобайт и отправлять что-то разработчику.

Если устройство соединяется с сетью впервые, сначала загружается архив с программой неизвестного назначения.

Предположительно, она делится с компанией Xiaomi конфиденциальной информацией. При этом, как отмечают специалисты, на серверы отправляется:

  • место расположения пользователя, даже если GPS отключён;
  • IMEI устройства;
  • MAC-адрес;
  • Nonce.

Многие пользователи пишут, что программа способна активировать голосовой поиск от Google в любое время, а это ещё и в постоянные фразы «Отсутствует подключение…» выливается, когда интернета нет.

Не напоминает Скайнет?

 В отличие от AnalyticsCore, эта утилита осуществляет подключения по зашифрованном каналу, поэтому разобраться, какие ещё сведения передаются с телефона, практически невозможно. Предположительно, это содержимое адресной книги, фото, видео, история переписки в программах и т. д. Запрет подобным сервисам работать с сетью и отключение синхронизации не препятствовали появлению стороннего трафика (который создаёт приложение). 

Рис. 2 – Сведения

Что делать?

Что такое Mab на устройствах от Xiaomi за дверью офисов компании достоверно не известно, хотя всё указывает на сервис для слежки за пользователем.

Как же избавиться от постороннего трафика и обезопасить себя?

Хорошо бы заморозить его, например, через Titanium Backup, или запретить сервису и ему подобным работать с сетью или соединяться с серверами Xiaomi, но:

  • степень интеграции приложения (и ему подобных) в операционную систему такова, что заморозка одного Mab мало что даст (сторонний трафик не исчезнет, а следственно, личные данные будут утекать к Xiaomi), а блокировка многих сервисов скажется на работоспособности устройства;
  • установить фильтр по именам и исключить этим связь с хостами не получится, ведь имена хостов могут динамически генерироваться;
  • из-за наличия UID sharing в Андроид под одним идентификатором в сети может работать несколько приложений;
  • почти все брандмауэры, позволяющие отфильтровать сетевой трафик, работают через VPN, что не гарантирует блокировку выходов в сеть для Mab и ему подобных процессов.

Читайте также:

Обзор Xiaomi Yi Action Camera (Basic Edition): «Убийца» GoPro

Умный браслет Xiaomi amazfit: преимущества и недостатки, обзор

Xiaomi redmi note 4x 4gb 64gb: надежный китаец в ваших руках — основные характеристики и обзор

Ноутбук Xiaomi Mi Notebook Air 13.3 обзор надежного китайского [среднячка]

Xiaomi Roidmi 2S: Лучший FM-трансмиттер для авто

Есть ли решение?

Проще всего для начинающих пользователей заполнить файл /etc/hosts записями с именами серверов и IP 127.0.0.1, наподобие: . Отследить, какой процесс к какому хосту подключается можно через тот же Titanium Backup. Для освоения её функционала и получения root-прав придётся потратить немного времени. 

Недостатки:

  • нужно вручную отлавливать все подозрительные адреса и самостоятельно добавлять их в hosts;
  • нельзя заблокировать доступ к хостам, имена которых генерируются динамически.

Рис. 3 – Блокируем соединение с ненужными хостами

 Второй способ решения проблемы – фильтрация отправки пакетов для статичных хостов.   Третий вариант – добавление правил для фильтрации DNS-запросов к ненужным серверам.   Четвёртый – блокируем MI-аккаунт. При наличии учётной записи синхронизация активируется автоматически, и все фото, видео, сохранённые пароли, содержимое телефонной книги, история переписки и прочая святая святых окажется на серверах разработчиков Xiaomi. 

Последний способ решения проблемы с программой и ей подобными службами – установка фильтра на выход в сеть по UID.

Только тут могут проблемы возникнуть: как сказано выше, под одним ID в сеть может выйти и три программы.

 Официального комментария о том, что собой представляет приложение Mab, как и AnalyticsCore, нет, зато есть все основания считать их шпионским ПО. Удалить сервис не получится, а вот ограничить ему доступ в интернет при достаточной подготовке пользователя можно, но для этого придётся попотеть. 

В своё время MIUI стартовала как простая надстройка над Android. Постепенно она обрастала всё новыми программами, настройками и функциями, так что сегодня можно утверждать, что это самостоятельная операционная система, хотя и имеющая в своей основе Android.

Среди многочисленного «фирменного» софта, имеющегося в MIUI, исследователь компьютерной безопасности Тайс Брунинк (Thijs Broenink) обратил внимание на ничем не примечательную программу AnalyticsCore.apk, которая постоянно работает в фоне. Основное подозрение вызвало то, что эта утилита снова и снова появлялась на смартфоне даже после тщательного удаления.

В ответ на запрос о предназначении этого файла компания Xiaomi решила отделаться глухим молчанием. Тогда Тайс декомпилировал код и увидел, что программа каждые 24 часа пересылает на сервер производителя идентификационные данные, в том числе IMEI, модель устройства, MAC-адрес и многое другое. Кроме того, программа проверяет наличие новой версии на сервере и в случае её обнаружения автоматически скачивает и устанавливает её. Пользователь, разумеется, остаётся совершенно не в курсе тайной жизни своего смартфона.

Самое же неприятное заключается в том, что приложение AnalyticsCore.apk не проверяет подлинность скачиваемого файла. Это значит, что компания Xiaomi имеет возможность установить любую программу на ваше устройство под видом AnalyticsCore.apk. Этой же лазейкой могут воспользоваться хакеры, ведь соединение с сервером Xiaomi осуществляется по незащищённому протоколу и легко может быть взломано.

Пока, насколько мне известно, компания никак не прокомментировала найденную уязвимость. Однако на форуме пользователей MIUI поднялась настоящая буря.

Вот именно поэтому я всегда советую использовать вместо MIUI какой-нибудь чистый Android. Да здравствуют AOSP, CyanogenMod и их производные!

Рекомендуем почитать:image

Xakep #265. OWASP Juice Shop

Голландский исследователь Тийс Броенинк (Thijs Broenink) заинтересовался приложением AnalyticsCore.apk, которое обнаружил на своем смартфоне Xiaomi Mi4. Приложение противостояло любым попыткам остановить его или удалить, но какие функции оно выполняет, понять не удавалось. Не дождавшись никакого ответа от официальных лиц, исследователь отреверсил код AnalyticsCore и обнаружил, что приложение может быть попросту опасно.

Пытаясь удовлетворить свой интерес, исследователь сначала обратился со своим вопросом в официальную поддержку MIUI, но так и не получил ответа, хотя этим приложением до него интересовались и другие пользователи. Тогда Броенинк отреверсил код приложения и узнал, что каждые 24 часа AnalyticsCore связывается с официальным сервером Xiaomi и проверяет наличие обновлений. В ходе этой проверки приложение каждый раз отправляет на сервер информацию о модели устройства, IMEI, MAC-адресе,  модели девайса, Nonce и так далее. Если обновление на сервере найдено, то оно автоматически скачивается и устанавливается в фоновом режиме, без участия пользователя. Исследователь пишет, что ему не удалось обнаружить в коде какие-либо доказательства, однако подобный трюк явно требует повышенных привилегий.

Исследователь пишет, что при этом AnalyticsCore никак не проверяет подлинность источника данных, а также сам загруженный файл.

«Похоже, никакая валидация устанавливаемого APK не проводится. Выходит, что каждые 24 часа Xiaomi имеет возможность тайно заменить любое (подписанное?) приложение на вашем устройстве», — пишет Броенинк.

Хотя данную проблему можно назвать бэкдором, вряд ли он появился на устройствах Xiaomi умышленно. Так, исследователь пишет, что в довершении всего AnalyticsCore скачивает апдейты и передает пользовательские данные через HTTP, что делает возможной атаку man-in-the-middle. Любой желающий может перехватить запрос приложения и подменить APK модифицированной версией.

Броенинк так и не смог выяснить, какой цели служит AnalyticsCore, так как приложение не делает на устройстве ничего, только запрашивает обновления. Поиск в Google и на официальных сайтах компании тоже не дали никакой конкретной информации о предназначении AnalyticsCore. В итоге исследователь посоветовал пользователям заблокировать на своих устройствах все запросы к доменам xiaomi.com и xiaomi.net, просто на всякий случай.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Citilink-kabinet.ru
Добавить комментарий