美国安全公司指责小米4手机预装恶意APP,小米否认

2015-03-08 +4 344317人围观 ,发现 12 个不明物体 终端安全资讯

近日美国手机安全公司Bluebox称,中国最畅销的Android手机小米4 LTE版预装了恶意APP,并且存在多项安全漏洞。

小米被称作“中国的苹果”,它的智能手机价格低廉,同时提供了那些出色的智能手机几乎所有功能,性价比极高。和其他小米手机系列一样,米4 LTE同样吸引了大量消费者。在印度,25,000部小米手机在15秒内即告售罄。

Bluebox:两处严重安全问题

Bluebox公司的安全研究人员Andrew Blaich周四透露,经过独家测试,新款小米米4手机中存在两处严重安全问题:

1、预装了被标识为恶意软件的app
2、使用了未经认证的Android操作系统,对用户来说可能是严重的安全风险

    
问题1:预装恶意APP

研究人员使用几款恶意软件扫描器进行扫描,发现米4 LTE智能手机内置6款可疑应用,这些应用被标记为恶意软件、间谍软件或者广告软件。

其中一个名为Yt Service(Yt服务)的可疑APP是一款被识别为DarthPusher的广告软件。这款软件与众不同的地方在于,它将自己伪装成一个直接来自Google的APP,而一般的Android用户都认为在Android设备上有来自Google的预装应用很正常。

Andrew Blaich周四在一篇博客中写道:

“很有趣,虽然这个应用名为Yt Service,包名叫做com.google.hfapservice 。但请注意,这个app并非来自Google官方。”

同时米4中还有一些可疑APP:

1、PhoneGuardService (com.egame.tonyCore.feicheng) – 被反病毒软件标记为木马,它可以让罪犯劫持手机。这款应用的名字足以蒙蔽用户。

2、SMSreg - 被杀毒软件公司识别为恶意软件

3、AppStats – (org.zxl.appstats)被识别为风险软件

Bluebox公司的安全研究人员总共发现了6款可疑应用,他们的行为与恶意软件、间谍软件和广告软件很相似。

问题2:定制版本的Android ROM

市面上有两种定制Android ROM——“兼容的”和“非兼容的”。

兼容定制的Android ROM是基于Android开源项目(AOSP)修改的,遵从Android兼容性定义文档(CDD),并且通过了兼容性测试工具(CTS);而“非兼容”的ROM是基于Android开源项目(AOSP)修改的,但建立的是自己的生态系统。

米4上的Android版本有点像是Kitkat, Jellybean, 甚至更早期的Android版本的混合。

研究人员使用了他们的手机安全评估工具Trustable对米4进行了分析,发现该手机能被许多最近发现的安全漏洞攻击,如Masterkey, FakeID和Towelroot (Linux futex)。

问题3:米4中的安全漏洞

Bluebox的研究人员称,除了仅在4.1.1版本存在的心脏出血漏洞外,米4手机上还包含多项重大安全漏洞。

其他可疑情况

研究人员还发现,手机的外部存储空间中有一个隐藏的目录,目录中包含几个貌似是用来跑分的Android程序。有些应用被重新签过名,使用了与原来软件厂商不同的key,这也就意味着应用可能被篡改过。

另外,研究人员还注意到他们的Bluebox安全扫描器出现在了小米市场中,但他们从未在小米市场发布过该应用。

小米官方回应

小米发言人在一封致“The Hacker News”的电子邮件中称:

“我们现在正在调查事件。Bluebox的博文中有明显错误。官方的小米设备不会默认root,并且没有预装恶意软件。因此,我们肯定Bluebox所测试的设备并非标准的MIUI ROM。

很有可能Bluebox所获得的米4经过了篡改,因为手机是从非官方渠道购买的。我们的渠道只有Mi.com和某些合作伙伴诸如运营商。

另外,与Bluebox博客中所述不同的是,MIUI是真的Android系统,遵循Android CDD(Android兼容性定义文档),并且MIUI通过了所有的CTS测试,保证所有设备都符合CDD,无论是中国版还是国际版。”

[参考来源THN & Bluebox,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)]

这些评论亮了

  • Mhost 回复
    完全理解,就算是美国安全公司你能买到小米手机么?
    )70( 亮了
  • 父亲 (4级) 回复
    这个其实没必要否认,恶意不恶意反正也不都是他们都说了算的,大家都在这么干,凭什么你的不恶意我的就恶意 ?现在从系统到客户端,哪个不传你隐私?
    举最简单的例子来说,随便去选个邮件客户端,输入密码验证收邮件的同时,你会发现除了邮件服务商的ip外还有他们邮件客户端自己公司的ip也同时是上传状态? 那有人说他恶意了吗? google yahoo gmail facebook mac 这类公司,都在配合情报联盟的大数据计划收集各种信息,有人说他恶意了吗? 微软的系统你关了信息回馈服务一样会往微软数据中心的服务器上传数据,有人说他恶意了吗? 某聊天软件,在自己的客户端里种马,给所有人开放用户信息查询服务,杀毒软件都不杀的,人家那是客户信息体验反馈模块!有人说他恶意了吗? 由某个国家领导的情报联盟制订的一项计划,该联盟国所产的软,硬系统,某些接口可轻易通过文件替换的方式启动自毁,有人说这是恶意了吗? 从云的概念被抛出后就没有什么恶意不恶意的了,我这是正常的客户体验反馈模块,具体收集什么,你管的着吗?
    )9( 亮了
发表评论

已有 12 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php