Приложение для настольных смарт-светильников с поддержкой Bluetooth Xiaomi Yeelight собирает различные данные, в том числе информацию о MAC-адресе, SSID, доступных беспроводных сетях и паролях, а также содержимое журнала логов, и отправляет их на серверы Xiaomi в Китае, выяснил разработчик, использующий псевдоним Peadar.
Речь идет о модели Xiaomi Yeelight XMCTD01YL. Проанализировав Android-приложение, использующееся для управления светильником, разработчик обнаружил ряд интересных моментов. В частности, приложение проводило проверку на наличие доступных сетей Wi-Fi (довольно странно, учитывая, что подключение смартфона осуществляется по Bluetooth), а также запрашивало подозрительные разрешения, не соответствующие функционалу устройства. Например, разрешение на аутентификацию аккаунтов (позволяет приложению использовать возможности диспетчера учетных записей, в том числе создавать аккаунты и устанавливать пароли), загрузку без уведомления, доступ к функциям звонков и данным геолокации, чтение и запись настроек системы, удаление процессов других приложений, а также извлечение информации о текущих или недавних задачах и запись аудио.
В процессе анализа исследователь выявил несколько сервисов – WifiDeviceScan, XMPushService, MiiLocalAPI и LogCollectionService. Первый проверяет наличие маршрутизаторов Xiaomi Mi, а три других оправляют данные, связанные с сетью Wi-Fi, координаты местоположения, содержимое журнала логов, а также информацию об устройствах Mi, включая используемый вид шифрования, на серверы Xiaomi. По словам разработчика, только данные о MAC-адресе и SSID отправляются по HTTPS, остальные – по протоколу HTTP.
