如今當人們丟手機以后，第一件想到的事情未必是如何找回手機，而是如何清除數據，因為當下手機已經承載了用戶太多的財富信息，全部身家都放在手機上的用戶絕對不在少數。因此，手機安全自然是用戶越來越關心的一個問題，很多手機廠商開始打手機安全的主意，以蘋果為代表的手機廠商推出了以指紋識別為代表的生物識別技術，而以酷派為代表的手機廠商推出了硬件隔離技術，其技術手段上屬于物理隔絕，再加上專門的安全芯片在硬件上對系統進行加密，杜絕了被攻擊和非法獲取信息的可能性。在筆者看來，酷派的硬件隔離技術在理論上可行，但實際操作過程中肯定還要經過數度磨礪才能成行。但是從上個月開始出現一些關于酷派安全手機漏洞的文章，開始筆者也并不以為奇，這是酷派在安全手機研發過程中一定會遇到的問題，本屬意料之中。但是看了一些文章以及文章標題后，感覺問題沒有我想象的那么簡單，什么“酷派遭遇滅頂之災“類的文章充斥標題，酷派到底遇到了天災，還是人禍呢？看了這些文章的技術分析報告后，基本能判斷出酷派遇到了人禍，酷派挨板磚了。

事件的起因源于烏云（WooYun）和Palo Alto Networks針對酷派手機的安全防護漏洞分析報告，以筆者的眼光來看，報告本身問題不大，但是顯然是被過度解讀了。

在這次事件中，烏云和Palo Alto Networks一直強調的 CoolReaper 這個程序，也叫CP_DMP 程序，該程序為設備管理服務程序，全名應該叫做Device Management Platform。按照以往的經驗這個程序主要功能應包括三個方面，一是對手機進行保護，防止第三方軟件惡意卸載系統軟件帶來系統不穩定性，二是作為應用商店的服務程序給用戶提供更及時和準確的應用軟件下載更新功能，三是作為OTA功能的輔助模塊，對OTA過程中可能會遇到的異常進行預處理，提高OTA成功率。

那么DMP為什么會被Palo Alto Networks及一些病毒機構認定為惡意行為？我認為像烏云和Palo Alto Networks這樣的機構更多的是通過代碼反編譯的方式來獲取部分代碼進行猜測，用DMP所具備的可能能力看作最終結果行為。舉個通俗的例子就是，菜刀能殺人，但你不能簡單的認為它就是兇器？菜刀也能做菜。將DMP程序直接化為病毒程序有失偏頗。

我看酷派安全手機六宗罪

我不是技術大拿，但是烏云和Palo Alto Networks針對CoolReaper 這個程序提出了六個方面的危害，我有一些自己的看法：酷派被冤枉的地方我替它喊冤，酷派確實做錯的地方，我們一起來給它打板子。

危害一： 在未經用戶同意或發出通知的情況下，下載、安裝、激活任意Android應用。

我的看法：DMP 具備軟件的下載，安裝，激活功能，這個是程序本身的能力，其具體過程為，如果應用商店的WI-FI下自動升級功能（通過開關控制開啟或關閉）開啟，檢測到新版本時，會提醒用戶進行下載更新版本，用戶確認后，會一鍵進行下載安裝，下載安裝完成后，會提醒用戶選擇確定還是立即激活應用體驗。

為了提升用戶體驗，有些廠商的OS會支持靜默安裝功能，減少用戶操作步驟，但如果在未經用戶同意的情況下進行應用激活，這是不允許的，這個情況在我曾經測試過的酷派手機上沒有發現，包括近期酷派S6、大神系列的多款手機上也沒有發現。

危害二：清除用戶數據，卸載現有應用以及禁用系統應用；

我的看法：首先“清除用戶數據”這個猜測是有偏差的，我就此專門咨詢了酷派的產品設計人員，DMP設計此功能的首要目的是針對酷派自身應用軟件，前期有用戶投訴酷派部分應用軟件存在長時間運行后數據損壞或異常，無法正常使用，即使OTA也無法解決，因此在設計DMP時添加了刪除指定應用數據的功能，如果用戶出現應用數據損壞并主動申請強行處理時，能對該用戶的需求進行響應。至于DMP 管理服務程序具備卸載應用的功能，在設計時主要考慮是國內手機從出廠到銷售，中間存在渠道刷機環節，有些渠道為了提升收入，會在手機銷售之前刷機植入軟件，導致手機存儲空間和內存空間被占用，用戶后續使用手機時出現卡頓，更嚴重的是OTA官方軟件版本會一直失敗，因此需要提醒用戶卸載不必要、一直不使用的應用程序，這部分功能移植到酷管家中了，在DMP中實際沒有使用。第三個禁用系統應用功能，手機廠家應用較多，有些用戶希望自己下載第三方應用替換原廠應用，而原廠應用一般是不可刪除和卸載的，只能禁用，因此針對用戶的需求，DMP提供了禁用系統應用功能，設計目的是針對酷派自帶的原廠應用。

危害三：通知用戶進行偽造OTA升級，實際安裝用戶不想要的應用

從市場的角度來說，移動互聯網分發模式賺錢誰都清楚，但是只為了幾個軟件就OTA一下，這樣的處理手段顯得太初級了。該項功能實際上是彈框提示用戶升級酷派官方軟件。大家都知道，手機在出廠后，由于持續提升用戶體驗，軟件版本經常需要更新。傳統的做法，是為了升級一款APP，需要出整體的OTA ROM包進行升級，一方面整機ROM出版本升級開發成本較高，時間周期較長，而且用戶升級ROM需要重啟手機才能完成，用戶體驗不好。所以酷派增加了一項新的功能，對系統APP單獨進行升級，減少流量消耗，簡化操作，提高用戶體驗。當有版本更新時，會彈框提示用戶進行下載升級，目前這種做法在智能手機中普遍應用。

危害四：向手機中發送或插入任意短信或彩信

酷派的應用商店在產品規劃時有一項功能，當用戶發現好的應用，希望分享給好友時，能通過短信分享應用商店下載鏈接，邀請好友下載使用，故在DMP中有相關的短信處理代碼。而我在最終應用商店的發布版本中，并沒有找到這項功能，該功能應該實際一直處于未啟用狀態。

危害五： 撥打任意手機號碼

酷派應用商店目前有30萬以上的APP，用戶在使用過程中可能存在兼容性問題，為了給用戶提供更方便快捷的反饋渠道，酷派在產品設計上增加了一項功能，用戶在使用過程上如果有任何問題，可以調用酷派客服打電話，目的是為了提供給用戶溝通互動的渠道。但是，從前面華為榮耀的類似情況看，這種情況很容易會讓扣費軟件找到機會，所以還酷派的這項功能顯得多此一舉，提出批評。

危害六： 向酷派服務器上傳設備信息，包括地理位置、應用使用、電話、短信等歷史記錄

這其實是目前手機行業的常規做法，通常用戶在新購機后第一次激活時，會有一個注冊過程，將設備基本的IMEISN等信息注冊回來，用于渠道銷售管理，類似于中國移動的DM，這也是業界通用做法，目的是為了更好的服務用戶。另外，在使用軟件時，會采集用戶安裝應用列表，用于應用的更新及升級，只是用于應用更新計算，并不會保存，這也是應用商店的通用做法。

以上算是筆者針對目前酷派安全事件逐條進行的一個分析，結果酷派真是一清二白？沒有任何的責任？當然不是！例如大家投訴較多的后臺推送廣告這事，酷派顯然做得有欠缺，雖然是移動互聯網下的一種運營模式，但是給用戶的體驗非常不好，這點希望酷派理應吸取教訓，在營收和用戶體驗上找出來一個平衡的。但國產手機要想良性發展，繼續想要超三星趕蘋果的話，這種胡亂拍磚的事情還是盡量少為之，一個良性的發展環境對于目前的國產手機行業是迫切需要的。