Noticia Los RedMi 1S tambien mandan datos a casa

[Aevum]

joder, soy famoso hoy, solo por postear 2 reglas de mierda del iptables y ademas que estan mal :P
me olvide de poner el service iptables save para que las reglas se queden despues del reinicio...

[Tolden]

 Cita: Originalmente Escrito por varotone

Aquí las declaraciones oficiales de Hugo Barra, vicepresidente de Xiaomi International:
https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
Básicamente lo que dice es que esas conexiones son para obtener datos de los servidores chinos, no para subir los nuestros, y que ningún dato nuestro se sube si no tenemos MiCloud activo.

¿La aplicación de mensajería necesita obtener datos de los servidores chinos?

Tururú .

Si antes necesitábamos un AOSP, ahora con más motivos.

[Aevum]

bueno, por lo menos ya sabemos porque Xiaomi no publica el kernel :P

[0n1maraz]

Creo que os pasáis de paranoicos.. Aunque seguramente controlen los datos de otras formas..

Pero ante eso ya podéis ir cifrándolo todo, usando programas de comunicación segura y anónima, etc.. Y claro nada de redes sociales, foros..

[Tolden]

Hugo Barra ha dicho que el teléfono se conecta a servidores chinos para contarnos chistes :

 Cita:

Al parecer, el sistema conecta con los servidores públicos de Xiaomi para actualizar una base de mensajes predefinidos y chistes muy populares en China, algo así como una tradición entre sus habitantes. De hecho, esta sección tan solo se encuentra en la versión china de los smartphones de la firma. En los modelos internacionales no existe rastro de esta sección.

http://www.appy-geek.com/Web/Article...d=26695878&m=d

[joraloca]

xiaomi le está comiendo la tostada a apple y samsung. Fin de la cita.

[rilo]

 Cita: Originalmente Escrito por joraloca

xiaomi le está comiendo la tostada a apple y samsung. Fin de la cita.

Pensamos exactamente igual. Sobran más explicaciones.

[el_angel_caido]

Hola a tod@s.

Sin desmentir la noticia, mala si fuera cierta, tampoco quiere admitirla sin más pruebas, ya que hasta ahora, si no me equivoco ni he entendido mal, sabemos que "llama" a "casa" dentro de un rango de IPs del gobierno chino (el que tiene un cortafuegos global, ¿no? ).

Pero si miramos la IP de la web de www.xiaomi.cn está dentro de ese rango (he hecho la prueba), pero su dominio (xiaomi.cn), aunque no da demasiada información al hacer un whois, parece que no está vinculado directamente con el gobierno chino... aunque tiene toda la pinta de que el "ISP chino" es el propio gobierno chino... lo cual podría explicar algunas cosas.
Lo mismo ocurre con miui.cn (que además tiene un alias apuntando a miui.com, y otro cname curioso, fe02.lg.xiaomi.com).
Así mismo ocurre con otros dominios .cn.

También he visto capturas de pantalla con las conexiones TCP/IP, pero no he visto capturas con los datos que se envían, sólo rumores y declaraciones de algún representante de Xiaomi diciendo que sólo se mandan datos para estadísticas... que tampoco me parece una fuente fiable a priori si se tienen en cuenta sus intereses.

Ahora bien, se me ha ocurrido hacer una prueba, hacer un MITM y esnifar las tramas que van y vienen de mi RedMi1S haciendo un filtrado para que me muestre las IPs dentro del rango chino que se cita en varias noticias (42.62.0.0/16).

Por ahora, y llevo como cosa de una hora, sólo han aparecido dos tipos de conexiones a esas IPs:

Código:

GET /log/?ac=xm_client&tm=***&client=setalias_imei&uid=***_***&os=JHCCNBE29.0.0&curPageId=***&pp1=***&type=statistics&pp2=***&version=***&ua=Xiaomi%257CHM%2B1S%257C4.3%257Cmiui.es%2BJLS36C%257C18%257Carmani&carrier=unknown&mnc=21421 HTTP/1.1 
Host: p.tongji.wali.com 
Connection: Keep-Alive 
Accept-Encoding: gzip 
 
HTTP/1.1 200 OK 
Server: Tengine 
Date: Thu, 31 Jul 2014 11:00:31 GMT 
Content-Type: text/plain 
Content-Length: 0 
Connection: keep-alive

Es la que más repite, y es la primera que se establece cuando se inicia el móvil.

Envía información sobre, o éso me parece, el móvil y la ROM que usa, ya que aparecen el IMEI del móvil, la versión de ROM, la banda base, ... Pero en principio no aparece nada preocupante, y sí aparece como asunto "statistics", que entra dentro de lo informado por Xiaomi.
Evidentemente donde hay *** hay números que no he puesto.
Peticiones de este tipo también la hacen otras aplicaciones Miui, como el Updater (supongo que para las OTA).

Código:

GET /phish?q=aHR0cHM6Ly93d3cuZ29vZ2xlLmVzLw==&app=***==&key=71033c4f79969d766d662d174d1e8014 HTTP/1.1 
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.3; HM 1SW MIUI/JHCCNBE29.0.0) 
Host: security.browser.miui.com 
Connection: Keep-Alive 
Accept-Encoding: gzip 
 
HTTP/1.1 200 OK 
Server: Server/2.0.3 
Date: Thu, 31 Jul 2014 10:37:44 GMT 
Content-Type: application/json; charset=UTF-8 
Transfer-Encoding: chunked 
Connection: keep-alive 
Content-Encoding: gzip

Este tipo de conexiones sí podríamos llamar "raras", ya que me he fijado que se producen cuando se usa el navegador por defecto usado en la ROM Miui (en mi caso, como se puede ver más arriba, la 29 de Miui.es), ya que parece que pasa por una IP del rango chino antes de llegar a la página solicitada, que en este caso es https://www.google.es, de ahí que aparezca cifrada y se mencione una key (o éso creo que indica), no como en el caso de arriba donde se pueden ver cosas "legibles" al ir en texto plano por http.
Aunque por el host diría que está relacionado, o no, con la suite de seguridad que incluye la ROM Miui.

--------
AÑADO: He modificado parte del código porque me han dicho que no es la web cifrada de Google por HTTPS, si no que es una cabecera que se envía al host que aparece ahí, security.browser.miui.com, y que una vez decodificada muestra información sobre el dispositivo más información sobre la página solicitada, en este caso sí sería la https://www.google.es.
Luego ese segundo tipo de conexión sí es "rara" ya que envía información, en principio con información del móvil, no privada, de navegación al host mencionado.
Sí, es un comportamiento extraño, pero sigo sin ver información privada, o al menos si la hay no se me ocurre como comprobarlo.

He probado a instalar y navegar usando el Maxthon y no aparece ese "desvío" que sí aparece usando el navegador por defecto de Miui.

Para el resto de tráfico he visto tramas normales de Telegram, Whatsapp, etc.
--------

He probado a usar aplicaciones que en principio no deberían tener tráfico TCP/IP, como la galería de fotos, y otras que sí lo deberían tener, como Whataspp, y no he observado IPs dentro del rango "diana".

Lo que no he visto por ahora, son tramas que pudieran contener datos personales privados... y mucho menos tráfico "pesado" no a petición, sólo Kb, que supongo sean de control (de mandar fotos y conversaciones debería haber algo más que un tráfico "ligero", creo yo, ¿no? ).

No soy experto en estos temas (lo básico y poco más), pero si alguien controla y puede hacer más pruebas que puedan esclarecer algo más las cosas mientras se confirma el tema pienso que sería de agradecer.

Lo del mensajero es raro, sin duda, ¿pero los MMS no van por datos? Yo no los uso, pero sí tengo el perfil creado en la configuración 3G de mi compañía móvil, claro que no se si sólo usan datos 3G o también pueden usar Wifi.

Lo dicho, no quisiera bajar la guardia ante este rumor/noticia... pero tampoco, al menos por ahora, me parece que es para ponerse en modo paranoico (¿eh, Tolden? ).

Un saludo.

[hlastras]

Por fin alguien que hace pruebas mas reales, y no pone el grito en el cielo a la minima.

Si entiendo bien, has capturado paquetes con un sniffer no?

Yo lo que pense, cuando alguien dijo si existia wireshark para android, era coger el wireshark de pc, y ponerte a capturar todos los paquetes del wifi durante un largo tiempo, y luego de todos los paquetes del movil, filtrarlos por ip para quedarnos con los que van a la ip china esa, y ver que contienen. Pero si nos estan robando informacion, seria estupido que la mandaran en plano, y no cifrada.

[el_angel_caido]

 Cita: Originalmente Escrito por hlastras

Si entiendo bien, has capturado paquetes con un sniffer no?

Sí, un MITM más Wireshark.

También he visto tramas al rango chino 58.68.128.0 - 58.68.255.255, en concreto a 58.68.235.14, que parece que están relacionadas con la mensajería en cloud de Xiaomi (protocolo xmpp-client y puerto 5222), y aparece mi número de teléfono móvil.

De momento creo que me paso al Maxthon como navegador... y mira que me gusta el de por defecto, pues tampoco necesito nada más.

Aunque sigo pensando que no es tan grave como lo pintan, como he puesto en la edición del post anterior, hay cosas "raras"... así que sigo en mis trece, no bajar la guardia, pero tampoco caer en la paranoia.

Un saludo.

[XGen]

No hay alguna manera siendo root de bloquear las comunicaciones? Estoy pensando en comprarme uno y la verdad que tengo la mosca detrás de la oreja con este tema

[el_angel_caido]

Un comunicado de uno de los portales que empezaron a difundir esta "noticia": AQUÍ.

Un saludo.