手機(jī)
手機(jī) 手機(jī)資訊 手機(jī)新聞 美國(guó)安全公司指責(zé)小米4存在安全問(wèn)題
小米
03月 09

美國(guó)安全公司指責(zé)小米4存在安全問(wèn)題

編輯:匿名 來(lái)源:cnbate
放大 縮小 打印 郵件 收藏本頁(yè) 游吧論壇

近日美國(guó)手機(jī)安全公司Bluebox稱,中國(guó)最暢銷(xiāo)的Android手機(jī)小米4 LTE版預(yù)裝了惡意APP,并且存在多項(xiàng)安全漏洞。 小米被稱作“中國(guó)的蘋(píng)果”,它的智能手機(jī)價(jià)格低廉,同時(shí)提供了那些出色的智能手機(jī)幾乎所有功能,性價(jià)比極高。和其他小米手機(jī)系列一樣,米4 LTE同樣吸引了大量消費(fèi)者。在印度,25,000部小米手機(jī)在15秒內(nèi)即告售罄。

Bluebox:兩處嚴(yán)重安全問(wèn)題

Bluebox公司的安全研究人員Andrew Blaich周四透露,經(jīng)過(guò)獨(dú)家測(cè)試,新款小米米4手機(jī)中存在兩處嚴(yán)重安全問(wèn)題:

1、預(yù)裝了被標(biāo)識(shí)為惡意軟件的app2、使用了未經(jīng)認(rèn)證的Android操作系統(tǒng),對(duì)用戶來(lái)說(shuō)可能是嚴(yán)重的安全風(fēng)險(xiǎn)

問(wèn)題1:預(yù)裝惡意APP

研究人員使用幾款?lèi)阂廛浖呙杵鬟M(jìn)行掃描,發(fā)現(xiàn)米4 LTE智能手機(jī)內(nèi)置6款可疑應(yīng)用,這些應(yīng)用被標(biāo)記為惡意軟件、間諜軟件或者廣告軟件。

其中一個(gè)名為Yt Service(Yt服務(wù))的可疑APP是一款被識(shí)別為DarthPusher的廣告軟件。這款軟件與眾不同的地方在于,它將自己偽裝成一個(gè)直接來(lái)自Google的APP,而一般的Android用戶都認(rèn)為在Android設(shè)備上有來(lái)自Google的預(yù)裝應(yīng)用很正常。

Andrew Blaich周四在一篇博客中寫(xiě)道:

“很有趣,雖然這個(gè)應(yīng)用名為Yt Service,包名叫做com.google.hfapservice 。但請(qǐng)注意,這個(gè)app并非來(lái)自Google官方?!?/P>

同時(shí)米4中還有一些可疑APP:

1、PhoneGuardService (com.egame.tonyCore.feicheng) – 被反病毒軟件標(biāo)記為木馬,它可以讓罪犯劫持手機(jī)。這款應(yīng)用的名字足以蒙蔽用戶。

2、SMSreg - 被殺毒軟件公司識(shí)別為惡意軟件

3、AppStats – (org.zxl.appstats)被識(shí)別為風(fēng)險(xiǎn)軟件

Bluebox公司的安全研究人員總共發(fā)現(xiàn)了6款可疑應(yīng)用,他們的行為與惡意軟件、間諜軟件和廣告軟件很相似。

問(wèn)題2:定制版本的Android ROM

市面上有兩種定制Android ROM——“兼容的”和“非兼容的”。

兼容定制的Android ROM是基于Android開(kāi)源項(xiàng)目(AOSP)修改的,遵從Android兼容性定義文檔(CDD),并且通過(guò)了兼容性測(cè)試工具(CTS);而“非兼容”的ROM是基于Android開(kāi)源項(xiàng)目(AOSP)修改的,但建立的是自己的生態(tài)系統(tǒng)。

米4上的Android版本有點(diǎn)像是Kitkat, Jellybean, 甚至更早期的Android版本的混合。

研究人員使用了他們的手機(jī)安全評(píng)估工具Trustable對(duì)米4進(jìn)行了分析,發(fā)現(xiàn)該手機(jī)能被許多最近發(fā)現(xiàn)的安全漏洞攻擊,如Masterkey, FakeID和Towelroot (Linux futex)。

問(wèn)題3:米4中的安全漏洞

Bluebox的研究人員稱,除了僅在4.1.1版本存在的心臟出血漏洞外,米4手機(jī)上還包含多項(xiàng)重大安全漏洞。

其他可疑情況

研究人員還發(fā)現(xiàn),手機(jī)的外部存儲(chǔ)空間中有一個(gè)隱藏的目錄,目錄中包含幾個(gè)貌似是用來(lái)跑分的Android程序。有些應(yīng)用被重新簽過(guò)名,使用了與原來(lái)軟件廠商不同的key,這也就意味著應(yīng)用可能被篡改過(guò)。

另外,研究人員還注意到他們的Bluebox安全掃描器出現(xiàn)在了小米市場(chǎng)中,但他們從未在小米市場(chǎng)發(fā)布過(guò)該應(yīng)用。

小米官方回應(yīng)

小米發(fā)言人在一封致“The Hacker News”的電子郵件中稱:

“我們現(xiàn)在正在調(diào)查事件。Bluebox的博文中有明顯錯(cuò)誤。官方的小米設(shè)備不會(huì)默認(rèn)root,并且沒(méi)有預(yù)裝惡意軟件。因此,我們肯定Bluebox所測(cè)試的設(shè)備并非標(biāo)準(zhǔn)的MIUI ROM。很有可能Bluebox所獲得的米4經(jīng)過(guò)了篡改,因?yàn)?a href="http://guanjiayuan.cn/phone/" target="_blank">手機(jī)是從非官方渠道購(gòu)買(mǎi)的。我們的渠道只有Mi.com和某些合作伙伴諸如運(yùn)營(yíng)商。另外,與Bluebox博客中所述不同的是,MIUI是真的Android系統(tǒng),遵循Android CDD(Android兼容性定義文檔),并且MIUI通過(guò)了所有的CTS測(cè)試,保證所有設(shè)備都符合CDD,無(wú)論是中國(guó)版還是國(guó)際版?!?/P>

小米M4

小米手機(jī)
網(wǎng)絡(luò)制式 GSM 待機(jī)模式
系統(tǒng)界面 安卓 4.3 主屏參數(shù) 5寸1600萬(wàn)色
主屏分辨率 1080x1920 CPU 四核 2.5GHz
網(wǎng)游 游戲 軟件 主題 壁紙 鈴聲

打印 郵件 收藏本頁(yè) 幫肋
推薦閱讀
相關(guān)閱讀