國外安全公司發(fā)現(xiàn)小米4手機預(yù)裝惡意軟件

責(zé)任編輯:editor005

2015-03-09 14:51:17

摘自:51CTO

數(shù)據(jù)安全公司Bluebox近日在中國市場購買的小米4手機中發(fā)現(xiàn)預(yù)裝惡意軟件及其他一堆安全問題,更加驚悚的是,Bluebox發(fā)現(xiàn)小米4手機被不明身份的第三方篡改了。

數(shù)據(jù)安全公司Bluebox近日在中國市場購買的小米4手機中發(fā)現(xiàn)預(yù)裝惡意軟件及其他一堆安全問題,更加驚悚的是,Bluebox發(fā)現(xiàn)小米4手機被不明身份的第三方篡改了。

國外安全公司發(fā)現(xiàn)小米4手機預(yù)裝惡意軟件

Bluebox上周四發(fā)布了一個關(guān)于小米4手機存在數(shù)據(jù)安全問題的報告,指出小米手機存在三大安全風(fēng)險:

1.小米手機禁用了谷歌官方應(yīng)用商店Google Play Store

2.小米手機發(fā)布前沒有通過Google認(rèn)證測試。

3.小米4手機存在已知安全漏洞(指那些在Google認(rèn)證版本中已經(jīng)修復(fù)的漏洞)

研究者表示測試的小米4手機為“原封正品”,預(yù)裝了小米的官方應(yīng)用,但進(jìn)一步的測試后,安全專家發(fā)現(xiàn)小米手機會預(yù)先加載數(shù)個惡意應(yīng)用,包括偽裝成Google驗證應(yīng)用的廣告軟件(Yt Service),一個可供黑客遠(yuǎn)程控制手機的木馬軟件PhoneGuardService,以及其他一些高風(fēng)險的軟件。

Bluebox的首席安全分析師Andrew Blaich在博客中指出小米4手機安全漏洞百出,“幾乎市面上能見到的漏洞應(yīng)有盡有。”

Blaich指出小米4手機的操作系統(tǒng)是為授權(quán)的Android版本,因此存在加個漏洞,其中一些漏洞只存在于舊版本的Android軟件中,而不是當(dāng)前“小米使用”的版本,因此Blaich認(rèn)為小米4使用的操作系統(tǒng)版本是最新的KtKat4.4.4與之前的某個舊版本的雜交版本。

Blaich還懷疑檢測的小米手機系統(tǒng)遭到篡改,因為很多應(yīng)用并未使用小米公司的簽名密鑰。

Bluebox聲稱第一時間聯(lián)系小米公司但并未得到及時回復(fù),直到上周五,小米全球副總裁Hugo Barra才給Bluebox回信,內(nèi)容大意是:

Bluebox測試的小米4手機并未使用標(biāo)準(zhǔn)的MIUI ROM,小米4出廠默認(rèn)ROM和OTA ROM從未root,也沒有預(yù)裝YT Service、PhoneGuardService等惡意軟件。Bluebox在中國從線下零售商買到的可能已經(jīng)被刷機篡改。小米強調(diào)在中國小米手機唯一的銷售渠道是小米官網(wǎng)和一些有選擇的運營商營業(yè)網(wǎng)點。

Barra在信中指出消費者應(yīng)當(dāng)從Mi.com和授權(quán)網(wǎng)點購買小米手機,但一個不爭的事實是:第三方渠道大量出貨的小米4手機存在被預(yù)裝惡意軟件的情況,這表明小米手機的軟件在零售環(huán)節(jié)已經(jīng)被破解(篡改),或者說小米對其手機系統(tǒng)的安全性已經(jīng)失去控制。

Blaich在報告中還指出,一個設(shè)備越流行就越容易被黑客攻擊,小米的MIUI平臺在中國已經(jīng)擁有上億用戶,并準(zhǔn)備今年登陸美國市場,這意味著小米的用戶基數(shù)還將不斷增長。

安全牛點評:2014年小米手機遭遇了一連串安全危機,從“小米手機臺灣遭禁”開始,去年8月以來新加坡和印度等市場紛紛對小米手機侵犯用戶隱私和數(shù)據(jù)安全的問題展開調(diào)查,小米公司的海外營銷計劃和品牌也遭受重挫,從一開始的“否認(rèn)”、“解釋”到“致歉”,拖延數(shù)月后,小米公司最終在2014年10月宣布最新的隱私保護(hù)措施:將國外用戶數(shù)據(jù)轉(zhuǎn)移至境外數(shù)據(jù)中心。Barra在Facebook賬號發(fā)布的通告指出小米的數(shù)據(jù)大遷移將分三步走,包括2015年在巴西和印度建設(shè)小米數(shù)據(jù)中心等。

如果國內(nèi)第三方渠道流通的大量小米手機被刷機預(yù)裝惡意軟件屬實(筆者從第三方渠道買的小米3就預(yù)裝了廣告惡意軟件),嚴(yán)重危及個人數(shù)據(jù)隱私和安全,那么小米公司也應(yīng)當(dāng)盡快出臺有力措施,給中國的廣大用戶給出一個靠譜的說法。

原文地址:http://www.aqniu.com/neotech/mobilesecurity/6839.html

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號