Hola a tod@s.
Sin desmentir la noticia, mala si fuera cierta, tampoco quiere admitirla sin más pruebas, ya que hasta ahora, si no me equivoco ni he entendido mal, sabemos que "llama" a "casa" dentro de un rango de IPs del gobierno chino (el que tiene un cortafuegos global, ¿no? ).
Pero si miramos la IP de la web de
www.xiaomi.cn está dentro de ese rango (he hecho la prueba), pero su dominio (xiaomi.cn), aunque no da demasiada información al hacer un whois, parece que no está vinculado directamente con el gobierno chino... aunque tiene toda la pinta de que el "ISP chino" es el propio gobierno chino... lo cual podría explicar algunas cosas.
Lo mismo ocurre con miui.cn (que además tiene un alias apuntando a miui.com, y otro cname curioso, fe02.lg.xiaomi.com).
Así mismo ocurre con otros dominios .cn.
También he visto capturas de pantalla con las conexiones TCP/IP, pero no he visto capturas con los datos que se envían, sólo rumores y declaraciones de algún representante de Xiaomi diciendo que sólo se mandan datos para estadísticas... que tampoco me parece una fuente fiable a priori si se tienen en cuenta sus intereses.
Ahora bien, se me ha ocurrido hacer una prueba, hacer un MITM y esnifar las tramas que van y vienen de mi RedMi1S haciendo un filtrado para que me muestre las IPs dentro del rango chino que se cita en varias noticias (42.62.0.0/16).
Por ahora, y llevo como cosa de una hora, sólo han aparecido dos tipos de conexiones a esas IPs:
Código:
GET /log/?ac=xm_client&tm=***&client=setalias_imei&uid=***_***&os=JHCCNBE29.0.0&curPageId=***&pp1=***&type=statistics&pp2=***&version=***&ua=Xiaomi%257CHM%2B1S%257C4.3%257Cmiui.es%2BJLS36C%257C18%257Carmani&carrier=unknown&mnc=21421 HTTP/1.1
Host: p.tongji.wali.com
Connection: Keep-Alive
Accept-Encoding: gzip
HTTP/1.1 200 OK
Server: Tengine
Date: Thu, 31 Jul 2014 11:00:31 GMT
Content-Type: text/plain
Content-Length: 0
Connection: keep-alive
Es la que más repite, y es la primera que se establece cuando se inicia el móvil.
Envía información sobre, o éso me parece, el móvil y la ROM que usa, ya que aparecen el IMEI del móvil, la versión de ROM, la banda base, ... Pero en principio no aparece nada preocupante, y sí aparece como asunto "statistics", que entra dentro de lo informado por Xiaomi.
Evidentemente donde hay *** hay números que no he puesto.
Peticiones de este tipo también la hacen otras aplicaciones Miui, como el Updater (supongo que para las OTA).
Código:
GET /phish?q=aHR0cHM6Ly93d3cuZ29vZ2xlLmVzLw==&app=***==&key=71033c4f79969d766d662d174d1e8014 HTTP/1.1
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.3; HM 1SW MIUI/JHCCNBE29.0.0)
Host: security.browser.miui.com
Connection: Keep-Alive
Accept-Encoding: gzip
HTTP/1.1 200 OK
Server: Server/2.0.3
Date: Thu, 31 Jul 2014 10:37:44 GMT
Content-Type: application/json; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Content-Encoding: gzip
Este tipo de conexiones sí podríamos llamar "raras", ya que me he fijado que se producen cuando se usa el navegador por defecto usado en la ROM Miui (en mi caso, como se puede ver más arriba, la 29 de Miui.es), ya que parece que pasa por una IP del rango chino antes de llegar a la página solicitada, que en este caso es
https://www.google.es, de ahí que aparezca cifrada y se mencione una key (o éso creo que indica), no como en el caso de arriba donde se pueden ver cosas "legibles" al ir en texto plano por http.
Aunque por el host diría que está relacionado, o no, con la suite de seguridad que incluye la ROM Miui.
--------
AÑADO: He modificado parte del código porque me han dicho que no es la web cifrada de Google por HTTPS, si no que es una cabecera que se envía al host que aparece ahí,
security.browser.miui.com, y que una vez decodificada muestra información sobre el dispositivo más información sobre la página solicitada, en este caso sí sería la
https://www.google.es.
Luego ese segundo tipo de conexión sí es "rara" ya que envía información, en principio con información del móvil, no privada, de navegación al host mencionado.
Sí, es un comportamiento extraño, pero sigo sin ver información privada, o al menos si la hay no se me ocurre como comprobarlo.
He probado a instalar y navegar usando el Maxthon y no aparece ese "desvío" que sí aparece usando el navegador por defecto de Miui.
Para el resto de tráfico he visto tramas normales de Telegram, Whatsapp, etc.
--------
He probado a usar aplicaciones que en principio no deberían tener tráfico TCP/IP, como la galería de fotos, y otras que sí lo deberían tener, como Whataspp, y no he observado IPs dentro del rango "diana".
Lo que no he visto por ahora, son tramas que pudieran contener datos personales privados... y mucho menos tráfico "pesado" no a petición, sólo Kb, que supongo sean de control (de mandar fotos y conversaciones debería haber algo más que un tráfico "ligero", creo yo, ¿no? ).
No soy experto en estos temas (lo básico y poco más), pero si alguien controla y puede hacer más pruebas que puedan esclarecer algo más las cosas mientras se confirma el tema pienso que sería de agradecer.
Lo del mensajero es raro, sin duda, ¿pero los MMS no van por datos? Yo no los uso, pero sí tengo el perfil creado en la configuración 3G de mi compañía móvil, claro que no se si sólo usan datos 3G o también pueden usar Wifi.
Lo dicho, no quisiera bajar la guardia ante este rumor/noticia... pero tampoco, al menos por ahora, me parece que es para ponerse en modo paranoico (¿eh,
Tolden?
).
Un saludo.
