當前位置：安全 → 企業動態 → 正文

細思恐極！小米手機藏后門可遠程安裝任意APP？

責任編輯：editor007 作者：宅客 |來源：企業網D1Net 2016-09-21 20:25:02 本文摘自：百度百家

到底是遠程控制還是....細思恐極

王小二跟鄰居張大牛買了一只鵝。

張家出品的鵝號稱一條龍服務，如果鵝生病一定會負責到底，要么治好，要么換鵝。不過，最近王小二發現，張大牛總在王小二不注意或者夜半無人私語時來王家院子偷偷撿鵝糞。

王小二納悶了，張家到底在干嗎？是不是看上了我家翠花？他怒了，在集市上質問張大牛，張大牛百口莫辯，只說撿鵝糞是為了看看鵝有沒有生病。

王小二將信將疑，他很生氣，那意思是以后時不時還有別家有別的借口來我家遛遛順點啥？

這個鄉村愛情故事可能和今天要說的事情有點關系。

你可能已經習慣了這個場景——新手機會預裝一些APP，怎么刪都刪不掉。但是，手機制造商將這些APP和服務安裝在你手機上是否會有特別的目的？這些預裝的應用又是否會威脅到機主的安全和隱私？　

荷蘭的一位小伙對此就頗有疑問。

他是小米4的用戶。小伙有一天發現，手機預裝了一個叫 AnalyticsCore.apk（com.miui.analytics）的應用，會自動在后臺運行。

小伙很生氣，他不喜歡未經許可收集用戶信息的應用，因此對它進行了逆向工程，發現該應用每24小時會訪問小米官方服務器檢查更新，在發送請求時它會同時發送設備的識別信息，包括手機的IMEI、型號、MAC地址、Nonce、包名字和簽名。如果服務器上有名叫Analytics.apk的更新應用，它會自動下載和安裝，整個過程無需用戶干預。

如果應用安裝時沒有任何驗證，該漏洞能被黑客利用，或者小米只需要將想要安裝的應用重命名為Analytics.apk就可以將其推送給用戶，而且該設備是通過HTTP發送請求和接收更新，這意味著用戶很容易遭到中間人攻擊。

看樣子，一個大新聞要搞出來了！

　　對此，小米的發言人表示，

AnalyticsCore是內建在MIUI系統中的組件，主要用來分析數據以增強用戶體驗，比如說MIUI Error Analytics——小米的系統錯誤分析功能。

為了安全起見，MIUI會在軟件的安裝和升級期間檢查Analytics.apk應用簽名，以確保載入的是擁有正確簽名的官方安卓軟件包。沒有官方簽名的安卓安裝包會被拒絕安裝，我們的軟件的自動升級功能都是為了更好的用戶體驗。

在今年四月到五月期間發布的最新版本MIUI v7.3中，HTTPS協議能夠有效地保障數據傳輸安全，避免中間人攻擊。

究竟是怎么回事？我們再來挖一下。

1.BUG在哪里？

HTTPS，是以安全為目標的HTTP通道，簡單而言，是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。它是一個URI scheme（抽象標識符體系），用于安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。

小米的老版本用的是HTTP協議，確實埋了一個漏洞。某知名安全公司資深安全專家告訴雷鋒網(搜索“雷鋒網”公眾號關注)宅客頻道（微信公眾號 ID：letshome），這是小米的一個預裝應用的升級機制沒有做好安全措施，24小時升級一次，期間可以被中間人劫持替換。

新版用了HTTPS協議后，就意味著“可能被劫持”這個問題被解決了嗎？

該專家表示，官方雖然說用了HTTPS升級就無法被中間人劫持了，但新版他也不確定，老版是HTTP，24小時升級1次，場景對一般小黑客而言，要攻擊還是比較有限制，不過技術好點的黑客可以用NTP欺騙手機時間的方式攻擊，提高升級概率來劫持。

一旦發生劫持，惡意軟件就拿了一把鑰匙可以隨意打開你家的門，在手機上安家落戶。

還有一個BUG是，上傳設備隱私信息是明文。

2.小米真的在竊取用戶隱私嗎？

這個問題在知乎也引起了討論，知乎用戶 Android Framework認為：

小米不能背鍋。

所謂的漏洞，其實是小米開發的一個功能，會有簽名檢查一類的機制來盡量保障大家的設備不被利用；所謂的信息收集，我覺得其實是對小米的不信任，同樣的事情 Google 在做，Apple 也在做。

以下是他的詳扒過程：

上述專家認為，這個就看官方怎么解釋這個APP的功能了，如果是手機性能測試收集或者crash分析程序的話，算是正常。他指出，別的系統也有類似功能，比如程序crash了要分析上傳崩潰日志。

3.怎么處理？