2015年3月9日星期一

小米4被指预装恶意软件:回应称测试机遭篡改

  近日有媒体报道,美国数据安全公司Bluebox通过测试发现,小米4手机中预装了恶意软件,还在这款手机中发现了很多其他问题。更令人担忧的是,这款手机似乎已经被尚未确认的第三方篡改。

  Bluebox曾经就此问题联系小米,但并未得到回复,该公司随后在上周四发布了报告。当Bluebox的研究人员收到这款手机时,确定那是一款使用小米账户的合法小米设备。经过深入的测试后,研究人员发现这款智能手机中预装了多款恶意应用,包括一款伪装成合法谷歌应用的广告软件、一个可以让黑客控制手机的木马,还有其他一些高危软件。

  另外,Bluebox首席安全分析师安德鲁·布莱齐(Andrew Blaich)还表示,在该公司进行的所有漏洞扫描中,小米4该都存在问题。

  布莱齐还表示,小米4的操作系统是未经认证的Android版本,因此可能存在很多瑕疵。他的团队发现的很多问题和漏洞都是较老的Android系统中存在的问题,最新版本已经修复,因此,他们认为小米4的操作系统融合了新的Android 4.4.4奇巧系统和旧版Android系统。API中的其他一些问题导致安全人员难以判断该设备究竟是用于测试的设备,还是供用户使用的产品。

  该公司还怀疑,这款设备可能被第三方篡改,因为某些应用的签名与小米的签名密钥并不相同。

  上周五,Bluebox终于收到小米方面的回复,小米国际副总裁雨果·巴拉(Hugo Barra)在回复中说:“我们确定Bluebox测试的设备使用的并非标准版MIUI ROM,因为我们的工厂ROM和OTA ROM从未root,也不会安装YT Service、PhoneGuardService、AppStats等服务。Bluebox购买的这款测试用机可能被篡改了,因为他们是通过中国的一家实体店购买的,而小米并不通过中国的第三方零售商销售手机,只通过官方网站和部分运营商销售。”

  巴拉还表示,小米正在调查该公司为何花费这么长时间才作出回应。他建议用户只购买Mi.com网站和部分认证商店的小米设备。

  不过,布莱齐似乎并不认可这一回复。他写道:“如果在零售渠道中这么容易篡改设备,那么即使通过Mi.com购买,也同样也可以在运输过程中篡改。”他还引述了另外一篇来自《明镜周刊》的新闻报道:美国情报部门可以在某些设备到达目的地之前在其中加载恶意软件——这是一种更加现代化的窃听方式。他认为,如果小米智能手机已经在零售层面被黑客入侵,便有可能引发更复杂的攻击。

  布莱齐在报告中指出,电子设备越受欢迎,遭到攻击的频率就越高。小米的MIUI平台拥有1亿用户,而且计划今年进军美国,因此该公司的用户数量今后还将继续增加。

  小米随后就此事向科技博客Venturebeat发布声明称:“Bluebox得到的那部小米4手机可能被第三方篡改,因为那是通过非官方渠道购买的。由于中国的各个手机品牌都存在巨大的平行市场,所以第三方经常通过这类渠道篡改任何品牌的手机。小米只通过Mi.com以及移动运营商等少数受信赖的合作伙伴销售手机。”

  小米还补充说:“另外,与Bluebox的结论不同的是,MIUI使用的是真正的Android系统,意味着MIUI完全遵守Android的兼容性定义文件(CDD),而且通过了所有的Android CTS测试,这是行业内用于确保某款设备完全兼容Android的一项流程,适用于中国和国际市场。”

  稿源:新浪科技