當(dāng)前位置:網(wǎng)站首頁(yè)>微信營(yíng)銷(xiāo)
細(xì)思恐極����!小米手機(jī)藏后門(mén)可長(zhǎng)途安裝隨便APP?
發(fā)布時(shí)間:2016-09-21
王小二跟鄰居張大牛買(mǎi)了一只鵝�。
張家出品的鵝號(hào)稱(chēng)一條龍服務(wù),如果鵝生病一定會(huì)負(fù)責(zé)到底���,要么治好,要么換鵝���。不過(guò)��,最近王小二發(fā)現(xiàn)�����,張大���?傇谕跣《蛔⒁饣蛘咭拱霟o(wú)人私語(yǔ)時(shí)來(lái)王家院子偷偷撿鵝糞。
王小二納悶了,張家到底在干嗎?是不是看上了我家翠花?他怒了�����,在集市上質(zhì)問(wèn)張大牛��,張大牛百口莫辯��,只說(shuō)撿鵝糞是為了看看鵝有沒(méi)有生病�����。
王小二將信將疑����,他很生氣,那意思是以后時(shí)不時(shí)還有別家有別的借口來(lái)我家遛遛順點(diǎn)啥?
這個(gè)鄉(xiāng)村愛(ài)情故事可能和今天要說(shuō)的事情有點(diǎn)關(guān)系�。
你可能已經(jīng)習(xí)慣了這個(gè)場(chǎng)景——新手機(jī)會(huì)預(yù)裝一些APP,怎么刪都刪不掉�。但是,手機(jī)制造商將這些APP和服務(wù)安裝在你手機(jī)上是否會(huì)有特別的目的?這些預(yù)裝的應(yīng)用又是否會(huì)威脅到機(jī)主的安全和隱私?
荷蘭的一位小伙對(duì)此就頗有疑問(wèn)����。
他是小米4的用戶(hù)。小伙有一天發(fā)現(xiàn)����,手機(jī)預(yù)裝了一個(gè)叫 AnalyticsCore.apk(com.miui.analytics)的應(yīng)用��,會(huì)自動(dòng)在后臺(tái)運(yùn)行���。
小伙很生氣,他不喜歡未經(jīng)許可收集用戶(hù)信息的應(yīng)用�����,因此對(duì)它進(jìn)行了逆向工程�����,發(fā)現(xiàn)該應(yīng)用每24小時(shí)會(huì)訪(fǎng)問(wèn)小米官方服務(wù)器檢查更新�,在發(fā)送請(qǐng)求時(shí)它會(huì)同時(shí)發(fā)送設(shè)備的識(shí)別信息,包括手機(jī)的IMEI�����、型號(hào)���、MAC地址、Nonce���、包名字和簽名��。如果服務(wù)器上有名叫Analytics.apk的更新應(yīng)用��,它會(huì)自動(dòng)下載和安裝���,整個(gè)過(guò)程無(wú)需用戶(hù)干預(yù)�����。
如果應(yīng)用安裝時(shí)沒(méi)有任何驗(yàn)證���,該漏洞能被黑客利用,或者小米只需要將想要安裝的應(yīng)用重命名為Analytics.apk就可以將其推送給用戶(hù)��,而且該設(shè)備是通過(guò)HTTP發(fā)送請(qǐng)求和接收更新���,這意味著用戶(hù)很容易遭到中間人攻擊����。
看樣子���,一個(gè)大新聞要搞出來(lái)了!
對(duì)此�����,小米的發(fā)言人表示���,
AnalyticsCore是內(nèi)建在MIUI系統(tǒng)中的組件��,主要用來(lái)分析數(shù)據(jù)以增強(qiáng)用戶(hù)體驗(yàn)��,比如說(shuō)MIUI Error Analytics——小米的系統(tǒng)錯(cuò)誤分析功能��。
為了安全起見(jiàn)��,MIUI會(huì)在軟件的安裝和升級(jí)期間檢查Analytics.apk應(yīng)用簽名���,以確保載入的是擁有正確簽名的官方安卓軟件包。沒(méi)有官方簽名的安卓安裝包會(huì)被拒絕安裝���,我們的軟件的自動(dòng)升級(jí)功能都是為了更好的用戶(hù)體驗(yàn)�。
在今年四月到五月期間發(fā)布的最新版本MIUI v7.3中����,HTTPS協(xié)議能夠有效地保障數(shù)據(jù)傳輸安全�����,避免中間人攻擊。
究竟是怎么回事?我們?cè)賮?lái)挖一下����。
1.BUG在哪里?
HTTPS,是以安全為目標(biāo)的HTTP通道�,簡(jiǎn)單而言,是HTTP的安全版��。即HTTP下加入SSL層���,HTTPS的安全基礎(chǔ)是SSL��,因此加密的詳細(xì)內(nèi)容就需要SSL��。 它是一個(gè)URI scheme(抽象標(biāo)識(shí)符體系)����,用于安全的HTTP數(shù)據(jù)傳輸�。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層(在HTTP與TCP之間)���。
小米的老版本用的是HTTP協(xié)議���,確實(shí)埋了一個(gè)漏洞�����。某知名安全公司資深安全專(zhuān)家告訴雷鋒網(wǎng)(搜索“雷鋒網(wǎng)”公眾號(hào)關(guān)注)宅客頻道(微信公眾號(hào) ID:letshome)��,這是小米的一個(gè)預(yù)裝應(yīng)用的升級(jí)機(jī)制沒(méi)有做好安全措施��,24小時(shí)升級(jí)一次�,期間可以被中間人劫持替換����。
新版用了HTTPS協(xié)議后,就意味著“可能被劫持”這個(gè)問(wèn)題被解決了嗎?
該專(zhuān)家表示����,官方雖然說(shuō)用了HTTPS升級(jí)就無(wú)法被中間人劫持了,但新版他也不確定��,老版是HTTP��,24小時(shí)升級(jí)1次�����,場(chǎng)景對(duì)一般小黑客而言���,要攻擊還是比較有限制����,不過(guò)技術(shù)好點(diǎn)的黑客可以用NTP欺騙手機(jī)時(shí)間的方式攻擊����,提高升級(jí)概率來(lái)劫持。
一旦發(fā)生劫持���,惡意軟件就拿了一把鑰匙可以隨意打開(kāi)你家的門(mén)��,在手機(jī)上安家落戶(hù)�。
還有一個(gè)BUG是��,上傳設(shè)備隱私信息是明文����。
2.小米真的在竊取用戶(hù)隱私嗎?
這個(gè)問(wèn)題在知乎也引起了討論,知乎用戶(hù) Android Framework認(rèn)為:
小米不能背鍋����。
所謂的漏洞����,其實(shí)是小米開(kāi)發(fā)的一個(gè)功能����,會(huì)有簽名檢查一類(lèi)的機(jī)制來(lái)盡量保障大家的設(shè)備不被利用;所謂的信息收集,我覺(jué)得其實(shí)是對(duì)小米的不信任���,同樣的事情 Google 在做���,Apple 也在做。
以下是他的詳扒過(guò)程:
上述專(zhuān)家認(rèn)為�,這個(gè)就看官方怎么解釋這個(gè)APP的功能了,如果是手機(jī)性能測(cè)試收集或者crash分析程序的話(huà)��,算是正常�。他指出,別的系統(tǒng)也有類(lèi)似功能���,比如程序crash了要分析上傳崩潰日志���。
3.怎么處理?
如何屏蔽這樣的秘密安裝呢?權(quán)宜之計(jì)是利用防火墻屏蔽掉所有通向小米相關(guān)域名的連接。
但這樣會(huì)有什么后果?該安全專(zhuān)家提醒——只屏蔽這個(gè)APP的升級(jí)地址沒(méi)問(wèn)題,如果把升級(jí)地址的整個(gè)域名都屏蔽了��,就會(huì)影響MIUI的其他升級(jí)��。
他表示:
如果他們的最新版本和他們聲明一樣����,可以不用擔(dān)心黑客劫持升級(jí)和明文傳輸設(shè)備隱私信息這些事了����。但是之前的屏蔽還是有效的,你繼續(xù)屏蔽也升級(jí)不到他們聲明的最新版本���,哈哈!
4.其他APP可以套路嗎?
你可能想多了��。預(yù)裝APP常常有最高權(quán)限����,用戶(hù)可能刪除不掉���,而且靜默升級(jí)��,你可能也意識(shí)不到需要提防�����。其他APP雖然也可以有類(lèi)似的問(wèn)題���,但一旦發(fā)現(xiàn)����,刪除起來(lái)容易多了!
最后���,如果你想圍觀(guān)一把荷蘭兄弟的質(zhì)疑帖�,網(wǎng)址在這里:https://www.thijsbroenink.com/2016/09/xiaomis-analytics-app-reverse-engineered/
