Xiaomi Mi 4 testado pela Bluebox, apresentava malware pré-instalado

xiaomi-mi-4-android-179x300Um dos nossos maiores receios é comprar um smartphone novo e após algum tempo de uso virmos a descobrir que este é um paraíso de virus, spyware ou outro qualquer tipo de malware.

A empresa de segurança BlueBox testou o Xiaomi Mi 4, da marca chinesa Xiaomi e verificou que este aparelho deu positivo aos vários os testes de vulnerabilidades a que foi submetido.

A empresa quando deparada com esta situação, entrou em contacto com a Xiaomi e após publicou um relatório, que vale a pena ler na integra.

O episódio começou como qualquer outro. Os técnicos da Bluebox receberam o telemóvel e como habitualmente, certificaram-se da legitimidade do aparelho. Era um smartphone da Xiaomi, tanto que usaram a aplicação da empresa “Mi identification” para validar o aparelho.

Após vários testes, os técnicos verificaram a presença de várias aplicações maliciosas e outras consideradas de alto risco pré-instaladas, incluindo o adware que se camufla de “Aplicação verificada pela Google”, cavalos de tróia que permitem que hackers ganhem acesso remoto ao telefone, e outro software malicioso.

Mais estranho ainda, o Mi 4 testado apresentava uma versão Android aparentemente idêntica à Rom oficial da Xiaomi, mas que continha partes do Android 4.4.4 KitKat e do Android 4.2 JellyBean. Além disso estava a ser corrida uma versão como Root.
Foram também encontradas versões de alguns softwares conhecidos, como por exemplo o CPU-Z, em que a assinatura do developer na aplicação do telemóvel, não coincide com a assinatura do developer da mesma aplicação na Playstore.

Outras aplicações já conhecidas por serem malware como por exemplo PhoneGuardService e Yt Service, também lá estava instaladas.

Este episódio parece saído de uma novela mexicana e tem contornos pouco claros. A BlueBox detectou o descrito acima e muito mais, contactou a Xiaomi e esta só após o relatório ter sido tornado público é que foi contactada pelo seu VP Global  Hugo Barra.

Hugo Barra informou a Bluebox que a Xiaomi está a investigar o sucedido e o porquê dos membros da empresa de segurança não terem sido recebidos pela equipa da Xiaomi.

Há vários indícios que o aparelho tenha sido adulterado. Equaciona-se que a adulteração do telemóvel para pré instalação da Rom defeituosa e do malware, terá sido efectuada por terceiros entre a fábrica e as lojas.

Esta notícia provavelmente irá ter alguns desenvolvimentos nas próximas semanas pelo que prometemos estar atentos para trazer-lhes mais novidades. Uma coisa é certa… o Xiaomi Mi 4 testado pela Bluebox, apresentava malware pré-instalado, como isso aconteceu é que ninguém sabe.

O risco é grande e a empresa tem bastante a perder, uma vez que a Xiaomi é uma das empresas com mais aparelhos móveis vendidos na China, os smartphones muitas vezes carregam dados sensíveis e confidenciais, e a empresa pretende expandir-se para outros mercados.

Update: 18/04/2015

Afinal o smartphone testado tinha sido adulterado.