开发者社区> 晚来风急> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

细思恐极!小米手机藏后门可远程安装任意APP?

简介:
+关注继续查看
福利推荐:阿里云、腾讯云、华为云等大品牌云产品全线2折优惠活动来袭,4核8G云服务器899元/3年,新老用户共享优惠,点击这里立即抢购>>>

到底是远程控制还是....细思恐极
王小二跟邻居张大牛买了一只鹅。

张家出品的鹅号称一条龙服务,如果鹅生病一定会负责到底,要么治好,要么换鹅。不过,最近王小二发现,张大牛总在王小二不注意或者夜半无人私语时来王家院子偷偷捡鹅粪。

王小二纳闷了,张家到底在干吗?是不是看上了我家翠花?他怒了,在集市上质问张大牛,张大牛百口莫辩,只说捡鹅粪是为了看看鹅有没有生病。

王小二将信将疑,他很生气,那意思是以后时不时还有别家有别的借口来我家遛遛顺点啥?

这个乡村爱情故事可能和今天要说的事情有点关系。

你可能已经习惯了这个场景——新手机会预装一些APP,怎么删都删不掉。但是,手机制造商将这些APP和服务安装在你手机上是否会有特别的目的?这些预装的应用又是否会威胁到机主的安全和隐私? 

荷兰的一位小伙对此就颇有疑问。

他是小米4的用户。小伙有一天发现,手机预装了一个叫 AnalyticsCore.apk(com.miui.analytics)的应用,会自动在后台运行。

小伙很生气,他不喜欢未经许可收集用户信息的应用,因此对它进行了逆向工程,发现该应用每24小时会访问小米官方服务器检查更新,在发送请求时它会同时发送设备的识别信息,包括手机的IMEI、型号、MAC地址、Nonce、包名字和签名。如果服务器上有名叫Analytics.apk的更新应用,它会自动下载和安装,整个过程无需用户干预。

如果应用安装时没有任何验证,该漏洞能被黑客利用,或者小米只需要将想要安装的应用重命名为Analytics.apk就可以将其推送给用户,而且该设备是通过HTTP发送请求和接收更新,这意味着用户很容易遭到中间人攻击。

看样子,一个大新闻要搞出来了!

  对此,小米的发言人表示,

AnalyticsCore是内建在MIUI系统中的组件,主要用来分析数据以增强用户体验,比如说MIUI Error Analytics——小米的系统错误分析功能。

为了安全起见,MIUI会在软件的安装和升级期间检查Analytics.apk应用签名,以确保载入的是拥有正确签名的官方安卓软件包。没有官方签名的安卓安装包会被拒绝安装,我们的软件的自动升级功能都是为了更好的用户体验。

在今年四月到五月期间发布的最新版本MIUI v7.3中,HTTPS协议能够有效地保障数据传输安全,避免中间人攻击。

究竟是怎么回事?我们再来挖一下。

1.BUG在哪里?
HTTPS,是以安全为目标的HTTP通道,简单而言,是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。

小米的老版本用的是HTTP协议,确实埋了一个漏洞。某知名安全公司资深安全专家告诉雷锋网(搜索“雷锋网”公众号关注)宅客频道(微信公众号 ID:letshome),这是小米的一个预装应用的升级机制没有做好安全措施,24小时升级一次,期间可以被中间人劫持替换。

新版用了HTTPS协议后,就意味着“可能被劫持”这个问题被解决了吗?

该专家表示,官方虽然说用了HTTPS升级就无法被中间人劫持了,但新版他也不确定,老版是HTTP,24小时升级1次,场景对一般小黑客而言,要攻击还是比较有限制,不过技术好点的黑客可以用NTP欺骗手机时间的方式攻击,提高升级概率来劫持。

一旦发生劫持,恶意软件就拿了一把钥匙可以随意打开你家的门,在手机上安家落户。

还有一个BUG是,上传设备隐私信息是明文。

2.小米真的在窃取用户隐私吗?
这个问题在知乎也引起了讨论,知乎用户 Android Framework认为:

小米不能背锅。

所谓的漏洞,其实是小米开发的一个功能,会有签名检查一类的机制来尽量保障大家的设备不被利用;所谓的信息收集,我觉得其实是对小米的不信任,同样的事情 Google 在做,Apple 也在做。

以下是他的详扒过程:

上述专家认为,这个就看官方怎么解释这个APP的功能了,如果是手机性能测试收集或者crash分析程序的话,算是正常。他指出,别的系统也有类似功能,比如程序crash了要分析上传崩溃日志。

3.怎么处理?
如何屏蔽这样的秘密安装呢?权宜之计是利用防火墙屏蔽掉所有通向小米相关域名的连接。

但这样会有什么后果?该安全专家提醒——只屏蔽这个APP的升级地址没问题,如果把升级地址的整个域名都屏蔽了,就会影响MIUI的其他升级。

他表示:

如果他们的最新版本和他们声明一样,可以不用担心黑客劫持升级和明文传输设备隐私信息这些事了。但是之前的屏蔽还是有效的,你继续屏蔽也升级不到他们声明的最新版本,哈哈!

4.其他APP可以套路吗?
你可能想多了。预装APP常常有最高权限,用户可能删除不掉,而且静默升级,你可能也意识不到需要提防。其他APP虽然也可以有类似的问题,但一旦发现,删除起来容易多了!

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
机器学习 Fbeta-Measure 指标详解
在江西VTE风险预测和山东案件自动分发比赛中,笔者见到了F2-Score评估指标,此类指标与以往F1-Score不同,出题方选择使用不同的beta权重来更加侧重Precision或者Recall某一指标,所以在实际中常常需要根据具体情况做出取舍,例如一般的搜索情况,在保证召回率的条件下,尽量提升精确率。而像癌症检测、地震检测、金融欺诈等,则在保证精确率的条件下,尽量提升召回率。
35 0
Elasticsearch的Snapshot and Restore(快照备份与恢复)
Elasticsearch提供的Snapshot api就是从正在运行的集群中获取备份用的,可以根据情况选择整个集群,也可以指定index和data stream。Elasticsearch是以增量的方式获取Snapshot,节约了时间和空间,小开销意味着可以适当增加备份的频率。每一个Snapshot在逻辑上相互独立,所以删除某一个Snapshot不会影响到其他的Snapshot。
1104 0
【Hadoop Summit Tokyo 2016】上云还是回到服务器:混合分析一瞥
本讲义出自Keith Manthey在Hadoop Summit Tokyo 2016上的演讲,主要分享了关于混合数据分析的两种架构的迁移,对于从服务器迁移到云端和从云端迁回到服务器进行了分析介绍,并且对于数据湖泊的概念进行了介绍。
1550 0
Linux环境下安装RocketMQ(MetaQ)
一:RocketMQ简介 RocketMQ是一款分布式、队列模型的消息中间件,具有以下特点: 1.能够保证严格的消息顺序 2.提供丰富的消息拉取模式 3.高效的订阅者水平扩展能力 4.实时的消息订阅机制 5.亿级消息堆积能力 二:安装RocketMQ 下载源码 首先我们从githup上获取RocketMQ的源码,目前最新的版本为3.5.8,下载地址为:https://
2556 0
远程提交Map/Reduce任务
1. 将开发好MR代码打包成jar。添加到distributed cache中。 ? Xml代码 ? bin/hadoop?fs?-copyFromLocal?/root/stat-analysis-mapred-1.
685 0
+关注
9363
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载


http://www.vxiaotou.com