數據安全公司Bluebox近日在中國市場購買的小米4手機中發現預裝惡意軟件及其他一堆安全問題，更加驚悚的是，Bluebox發現小米4手機被不明身份的第三方篡改了。

Bluebox上周四發布了一個關于小米4手機存在數據安全問題的報告，指出小米手機存在三大安全風險：

1.小米手機禁用了谷歌官方應用商店Google Play Store

2.小米手機發布前沒有通過Google認證測試。

3.小米4手機存在已知安全漏洞(指那些在Google認證版本中已經修復的漏洞)

研究者表示測試的小米4手機為“原封正品”，預裝了小米的官方應用，但進一步的測試后，安全專家發現小米手機會預先加載數個惡意應用，包括偽裝成Google驗證應用的廣告軟件(Yt Service)，一個可供黑客遠程控制手機的木馬軟件PhoneGuardService，以及其他一些高風險的軟件。

Bluebox的首席安全分析師Andrew Blaich在博客中指出小米4手機安全漏洞百出，“幾乎市面上能見到的漏洞應有盡有。”

Blaich指出小米4手機的操作系統是為授權的Android版本，因此存在加個漏洞，其中一些漏洞只存在于舊版本的Android軟件中，而不是當前“小米使用”的版本，因此Blaich認為小米4使用的操作系統版本是最新的KtKat4.4.4與之前的某個舊版本的雜交版本。

Blaich還懷疑檢測的小米手機系統遭到篡改，因為很多應用并未使用小米公司的簽名密鑰。

Bluebox聲稱第一時間聯系小米公司但并未得到及時回復，直到上周五，小米全球副總裁Hugo Barra才給Bluebox回信，內容大意是：

Bluebox測試的小米4手機并未使用標準的MIUI ROM，小米4出廠默認ROM和OTA ROM從未root，也沒有預裝YT Service、PhoneGuardService等惡意軟件。Bluebox在中國從線下零售商買到的可能已經被刷機篡改。小米強調在中國小米手機唯一的銷售渠道是小米官網和一些有選擇的運營商營業網點。

Barra在信中指出消費者應當從Mi.com和授權網點購買小米手機，但一個不爭的事實是：第三方渠道大量出貨的小米4手機存在被預裝惡意軟件的情況，這表明小米手機的軟件在零售環節已經被破解(篡改)，或者說小米對其手機系統的安全性已經失去控制。

Blaich在報告中還指出，一個設備越流行就越容易被黑客攻擊，小米的MIUI平臺在中國已經擁有上億用戶，并準備今年登陸美國市場，這意味著小米的用戶基數還將不斷增長。

安全牛點評：2014年小米手機遭遇了一連串安全危機，從“小米手機臺灣遭禁”開始，去年8月以來新加坡和印度等市場紛紛對小米手機侵犯用戶隱私和數據安全的問題展開調查，小米公司的海外營銷計劃和品牌也遭受重挫，從一開始的“否認”、“解釋”到“致歉”，拖延數月后，小米公司最終在2014年10月宣布最新的隱私保護措施：將國外用戶數據轉移至境外數據中心。Barra在Facebook賬號發布的通告指出小米的數據大遷移將分三步走，包括2015年在巴西和印度建設小米數據中心等。

如果國內第三方渠道流通的大量小米手機被刷機預裝惡意軟件屬實(筆者從第三方渠道買的小米3就預裝了廣告惡意軟件)，嚴重危及個人數據隱私和安全，那么小米公司也應當盡快出臺有力措施，給中國的廣大用戶給出一個靠譜的說法。

原文地址：http://www.aqniu.com/neotech/mobilesecurity/6839.html