摘要 : 這個程序設計出來的的主要目的包括三個方面，一是作為OTA功能的輔助模塊，對操作系統OTA過程中可能會遇到的異常情況進行預處理，提高OTA成功率；二對手機進行保護，防止第三方軟件惡意卸載系統軟件帶來系統不穩定性，三是作為應用商店的服務程序給用戶提供更及時和準確的應用軟件下載更新功能

前幾天看到一篇文章，講酷派的OS如何的不安全，如何的把用戶當肉雞來進行非法謀利，如何的竊取用戶信息，簡直把酷派說成是一個十惡不赦的大壞蛋。因為我自己用的就是酷派的“真硬件雙隔離”鉑頓安全手機，花了我四千多人民幣，如果真像這位仁兄所說的如此的不安全，那我豈不是吃了大虧？不行，必須找酷派去退貨。

但是，當我看完這篇文章之后，卻對這些所謂的證據及結論產生了懷疑，難道真相確如這位仁兄所說嗎？

事件來源：

這個事件最早確實是由安全漏洞匯報網站——烏云網爆出來的。這是一個很專業的網站，例如榮耀手機的電話功能可能被APP利用造成用戶扣費的漏洞就是它們曝光的，這次曝光酷派的平臺漏洞，內容和證據也是相當的詳盡，我總結了一下大約有以下幾個風險：

1、在未經用戶同意或發出通知的情況下，下載、安裝、激活任意Android應用；

2、清除用戶數據，卸載現有應用以及禁用系統應用；

3、通知用戶進行偽造OTA升級，實際上并不會更新設備，但會安裝用戶不想要的應用；

4、向手機中發送或插入任意短信或彩信；

5、撥打任意手機號碼；

6、向酷派服務器上傳設備信息，包括地理位置、應用使用、電話、短信等歷史記錄。

事實并非是你看到的這樣

在這次事件中，烏云和Palo Alto Networks一直強調的 CoolReaper 這個程序，也叫CP_DMP 程序，是一個設備管理服務程序，全名為Device Management Platform。這個程序設計出來的的主要目的包括三個方面，一是作為OTA功能的輔助模塊，對操作系統OTA過程中可能會遇到的異常情況進行預處理，提高OTA成功率；二對手機進行保護，防止第三方軟件惡意卸載系統軟件帶來系統不穩定性，三是作為應用商店的服務程序給用戶提供更及時和準確的應用軟件下載更新功能，說到底，都是為了用戶體驗著想。

那么為什么會被Palo Alto Networks及更多的病毒機構認定為惡意行為了？我一個做手機安全的朋友和我說，像烏云和Palo Alto Networks這樣的機構更多的是通過代碼反編譯的方式來獲取部分代碼進行猜測，用DMP所具備的可能能力看作最終結果行為，有點太武斷，就像盲人摸象一樣。

舉個例子，中國每年因道路交通安全事故傷亡人數超過20萬人，那你就認為汽車不安全必須禁止？可是汽車給人們生產生活帶來的便利和效率你看到了嗎？當然，這樣的論點是有些偏頗，但不能說它錯，因為汽車帶來的交通事故確實有近二十萬的傷亡，但是它是好還是壞，主要還要看用它的人。

所謂后門的真相

我不是技術大拿，但是烏云和Palo Alto Networks針對CoolReaper 這個程序提出了六個方面的危害，我有一些自己的看法：

后門行為一： 在未經用戶同意或發出通知的情況下，下載、安裝、激活任意Android應用。

我的看法是：如果開啟應用商店的WI-FI環境下自動升級功能，當檢測到有應用新版本時，會提醒用戶進行下載更新版本，用戶確認后，會一鍵進行下載安裝，下載安裝完成后，會提醒用戶選擇確定還是立即激活應用體驗。

為了提升用戶體驗，有些廠商的OS會支持靜默安裝功能，減少用戶操作步驟，但如果在未經用戶同意的情況下進行應用激活，這是不允許的。這種做法也是主流應用商店的通用做法，不信你們去試試百度手機助手這些，包括其它手機廠商的相關應用商店服務應用，也許會抓出來很多所謂的后門木馬程序出來，而實際上只是一個普通的升級程序，殺毒軟件的誤報也不是一次二次的稀罕事了。

后門行為二：清除用戶數據，卸載現有應用以及禁用系統應用；

我的看法：首先“清除用戶數據”這個猜測是錯的，這個應用的起因是有用戶投訴酷派部分應用軟件存在長時間運行后數據損壞或異常，無法正常使用，即使OTA也無法解決的問題，因此在設計DMP時添加了刪除指定應用數據的功能，如果用戶出現應用數據損壞并主動申請強行處理時，能對該用戶進行特別處理。

我曾經就此單獨采訪過酷派相關的人員。DMP設計此功能的主要目的是針對酷派自身應用軟件，目前現在的很多管家類軟件已具備此功能，而酷派這個功能只能說是具備，但是不是使用過，這是兩個概念。

至于DMP 管理服務程序具備卸載應用的功能，在設計時主要考慮是國內手機從出廠到銷售，中間存在渠道刷機環節，有些渠道為了提升收入，會在手機銷售之前刷機植入軟件，導致手機存儲空間和內存空間被占用，用戶后續使用手機時出現卡頓，更嚴重的是OTA官方軟件版本會一直失敗，因此需要提醒用戶卸載不必要、一直不使用的應用程序，這部分功能移植到酷管家中了，在DMP中實際沒有使用。第三個禁用系統應用功能，手機廠家應用較多，有些用戶希望自己下載第三方應用替換原廠應用，而原廠應用一般是不可刪除和卸載的，只能禁用，因此針對用戶的需求，DMP提供了禁用系統應用功能，設計目的是針對酷派自帶的原廠應用。

某文說要刪除這些原廠應用，必須要ROOT。可是他不明白，如果安卓手機ROOT后就像是脫光了衣服，安全性更不要說了，討論這些后門更沒有意義，因為木馬這些不用吹灰之力就能入侵你的系統，還用得著什么后門了。

直白的講，這個應用的出發點就是即能讓用戶自主選擇是否禁用原廠的一些運營商應用，也能保護用戶的手機基本安全，怎么就成了木馬了？

后門行為三：通知用戶進行偽造OTA升級，實際上并不會更新設備，但會安裝用戶不想要的應用；

這完全就是一種猜想，我們知道手機在出廠后，由于持續提升用戶體驗，軟件版本經常需要更新。傳統的做法是為了升級一款APP，需要出一個整體的OTA ROM包進行升級，一方面整機ROM出版本升級開發成本較高，時間周期較長，而且用戶升級ROM需要重啟手機才能完成，用戶體驗不好。所以酷派增加了一項新的功能，對系統APP單獨進行升級，減少流量消耗，簡化操作，提高用戶體驗。

當有版本更新時，會彈框提示用戶進行下載升級，除了業務流程和OTA接近外，界面也完全不同，不存在任何偽裝，也不存在安裝用戶不想要的應用。

某文指責酷派推送某些用戶不需要的軟件，由此來謀取暴利。這個說法，表面上來看是有依據的，因為靠軟件激活及游戲分成收入是手機廠商目前新增的一個收入來源，因為硬件利潤實在太低，也由此滋生了一個約百億級的市場。但是，我們要分清楚一點，就是酷派推送的是什么，如果是惡意扣費軟件，那這個就是不可饒恕的，但是如果是跟用戶相關的軟件，你就不能進行指責，一切以用戶的需求為出發點的應用都是好服務，這是我的觀點。至于說，游戲里有扣錢的，那這就是游戲開發公司的問題，也是整個安卓系統業態的問題，打在酷派一家身上，有點冤了！但是酷派必須加強管理，將一些山寨應用擋在門外，這才是最重要的。

后門行為四：向手機中發送或插入任意短信或彩信；

這個我特地問過酷派的開發人員，他們說酷派的應用商店在產品規劃時有一項功能，當用戶發現好的應用，希望分享給好友時，能通過短信分享應用商店下載鏈接，邀請好友下載使用，故在DMP中有相關的短信處理代碼。而在最終應用商店的發布版本中，并沒有找到完整的此功能實現。

后門行為五： 撥打任意手機號碼；

用戶在使用過程中可能存在兼容性問題，為了給用戶提供更方便快捷的反饋渠道，在產品設計上增加了一項功能，用戶在用戶過程上如何任何問題可能點擊鏈接拉起撥號盤給酷派客服打電話，目的是為了提供給用戶溝通互動的渠道。但是，從前面華為榮耀的情況看，這種情況很容易會讓扣費軟件找到機會，所以還是要請酷派提高安全等級，防范這樣 的事件發生。

后門行為六： 向酷派服務器上傳設備信息，包括地理位置、應用使用、電話、短信等歷史記錄。

我們了解到的情況是，通常用戶在新購機后第一次激活時，會有一個注冊過程，將設備基本的IMEI SN等信息注冊回來，用于渠道銷售管理，類似于中國移動的DM，這也是業界通用做法，目的是為了更好的服務用戶。

另外，在使用軟件時，會采集用戶安裝應用列表，用于應用的更新及升級，只是用于應用更新計算，并不會保存，這也是應用商店的通用做法。對電話，短信等涉及用戶個人隱私的數據記錄，酷派也是嚴格遵守工信部規范，沒有做任何相關采集動作。

OK，事情基于此就算完結了？酷派真是一清二白？沒有任何的責任？不是，絕對不是！例如大家投訴較多的后臺推送廣告這事，酷派就太頻繁了，雖然是移動互聯網下的一種運營模式，但是給用戶的體驗不太好，這點希望酷派進行整改，在營收和用戶體驗上找出來一個平衡的點。

至于木馬后門的說法，咱們還是憑事實說話吧，別顯得太不專業了，還把360也拉進來。

整個事件又將炒紅“真安全手機

這個事件八月份就曝光了，但是為什么十二月才發酵擴散，而且是在360宣布合資酷派推互聯網手機之后？而且先是在國內烏云網曝出來，然后傳到國外的Palo Alto Networks，鬧得華爾街人人皆知，然后“數字公司”的股價？接下來，又出現一個所謂的APK推送后臺（實則是酷派開發服務已經廢除的一個平臺，沒有人維護，結果被黑客攻破），被國內的一幫某五百強圈養的寫手跳出來歪曲利用，高聲指責，綁架民意，誤導用戶……

對于國外Palo Alto Networks的結論，我覺得可以原諒，必竟他們不知道代碼，也不明白中國國內的APK市場亂像及運營現實情況，所以把一些服務于用戶，在他們看來又不是特別規范的行為視為惡意，這個是可以理解的。

我不明白的是，這些可以說清楚的事，為什么到了國內就上升到惡意木馬后門的高度，是我們需要眼球還是我們的節操滿地找？我不禁要問，是什么樣的能量才能造成這么大的影響來打擊對手，也或者是什么樣的對手才能對酷派做安全手機感受到這么大的危機感，借用中國的一句古話：相煎何相急。

也許以上只是一種猜測，但這種猜測最好不要變成現實，不然就真的沒有“節操”到底了！反過來，作為希望保障自身個人信息安全的用戶，我們也在思考一個問題，就是烏云網曝出來的這種種的問題，難道只存在于酷派一家？華為沒有？中興沒有？只要是安卓手機，這些問題或多或少都會有，這是安卓技術層面上的缺陷，而不能將板子打在一家身上，這樣是不公平的。解決安卓系統的安全問題，是一個行業問題，需要所有的廠商來重視和支持。

真正的安全手機在哪里?基于安卓平臺，共同一套存儲介質，你不可能有一個真正安全的手機，無論是中興還是華為，都只能是軟件層面上的部分安全，說不定哪個木馬就繞過來漏洞侵入系統，你問問這二家誰敢保證自己的絕對安全，哪個是銀行級的加密水準？而酷派的鉑頓，采用的是雙系統硬件隔離，其中的安全系統是完全隔離，不能上網，但能打電話 發短信，隔絕了病毒的來源，你還怕什么資料外泄嗎？這也許才是真正的安全手機，幸運的是，我在用它！