转载

美安全公司指责小米4预装恶意软件小米回应测试手机是假货

　　近日美国手机安全公司 Bluebox 称，中国最畅销的 Android 手机小米 4 LTE 版预装了恶意 App，并且存在多项安全漏洞。对此，小米公司回应称，Bluebox 所获得的手机是购自中国的街边非官方渠道的假冒产品。

　　小米还称，在中国的移动手机销售中，存在着庞大的与官方渠道并存的非正规市场，该类第三方不仅可对销售的智能手机上的软件进行篡改，并且还参与销售与正版产品几乎无法进行区分的假冒伪劣产品。这对所有在中国销售的智能手机品牌，不论是中国品牌或外国品牌，都是一种普遍现象。

　　小米表示，将采取一切必要的措施，打击所有假冒手机山寨厂商或任何篡改小米软件的个人。

　　Bluebox：两处严重安全问题

　　Bluebox 公司的安全研究人员 Andrew Blaich 周四透露，经过独家测试，新款小米 4 手机中存在两处严重安全问题：

　　1、预装了被标识为恶意软件的 app

　　2、使用了未经认证的 Android 操作系统，对用户来说可能是严重的安全风险

　　问题1：预装恶意 APP

　　研究人员使用几款恶意软件扫描器进行扫描，发现小米 4 LTE 智能手机内置 6 款可疑应用，这些应用被标记为恶意软件、间谍软件或者广告软件。

　　其中一个名为 Yt Service (Yt 服务)的可疑 APP 是一款被识别为 DarthPusher 的广告软件。这款软件与众不同的地方在于，它将自己伪装成一个直接来自 Google 的 APP，而一般的 Android 用户都认为在 Android 设备上有来自 Google 的预装应用很正常。

　　Andrew Blaich 周四在一篇博客中写道：

　　“很有趣，虽然这个应用名为 Yt Service，包名叫做 com.google.hfapservice ，但请注意，这个 app 并非来自 Google 官方。”

　　同时小米 4 中还有一些可疑 APP：

　　1、PhoneGuardService (com.egame.tonyCore.feicheng) – 被反病毒软件标记为木马，它可以让罪犯劫持手机。这款应用的名字足以蒙蔽用户。

　　2、SMSreg - 被杀毒软件公司识别为恶意软件

　　3、AppStats – (org.zxl.appstats)被识别为风险软件

　　Bluebox 公司的安全研究人员总共发现了 6 款可疑应用，他们的行为与恶意软件、间谍软件和广告软件很相似。

　　问题2：定制版本的 Android ROM

　　市面上有两种定制 Android ROM——“兼容的”和“非兼容的”。

　　兼容定制的 Android ROM 是基于 Android 开源项目(AOSP)修改的，遵从 Android 兼容性定义文档(CDD)，并且通过了兼容性测试工具(CTS);而“非兼容”的 ROM 是基于 Android 开源项目(AOSP)修改的，但建立的是自己的生态系统。

　　米 4 上的 Android 版本有点像是 Kitkat, Jellybean，甚至更早期的 Android 版本的混合。

　　研究人员使用了他们的手机安全评估工具 Trustable 对米 4 进行了分析，发现该手机能被许多最近发现的安全漏洞攻击，如 Masterkey、FakeID 和 Towelroot (Linux futex)。

　　问题3：小米 4 中的安全漏洞

　　Bluebox 的研究人员称，除了仅在 4.1.1 版本存在的心脏出血漏洞外，米 4 手机上还包含多项重大安全漏洞。

　　其他可疑情况

　　研究人员还发现，手机的外部存储空间中有一个隐藏的目录，目录中包含几个貌似是用来跑分的 Android 程序。有些应用被重新签过名，使用了与原来软件厂商不同的 key，这也就意味着应用可能被篡改过。

　　另外，研究人员还注意到他们的 Bluebox 安全扫描器出现在了小米市场中，但他们从未在小米市场发布过该应用。

　　以下为小米声明原文：

　　Bluebox 公司发布的博文内容含有明显的不准确之处。官方售出的小米手机不会进行刷机处理或预置任何恶意软件。我们目前的调查表明，Bluebox 所获得的手机是购自中国的街边非官方渠道的假冒产品。我们正在收集更多信息充分证实此结论，并将在未来 24 小时内给出最终答复。

　　在中国的移动手机销售中，存在着庞大的与官方渠道并存的非正规市场，该类第三方不仅可对销售的智能手机上的软件进行篡改，并且还参与销售与正版产品几乎无法进行区分的假冒伪劣产品。这对所有在中国销售的智能手机品牌，不论是中国品牌或外国品牌，都是一种普遍现象。

　　另外，一些未经授权经营的零售商也可能在该类设备上添加恶意软件或广告软件，甚至预置流行测试软件如 CPU-Z 及安兔兔的假冒版本，通过虚假“测试”，显示机器是真机—甚至可成功欺骗具有一定识别力的消费者。

　　小米将采取一切必要的措施，打击所有假冒手机山寨厂商或任何篡改小米软件的个人。小米的行动受到中国境内各级执法机构的支持。为了小米用户的安全，小米及所有智能手机品牌均推荐用户通过合法授权的渠道购买手机。小米手机目前只通过 Mi.com 以及为数不多的个别小米授权方进行销售，包括移动运营商和授权零售商，如印度的 Flipkart。

　　另外，与 Bluebox 公司的声明相反，MIUI 是真正的安卓系统，即 MIUI 完全符合安卓的兼容性定义文件(Android CDD)，该文件提供了谷歌对兼容安卓系统设备的定义。另外，MIUI 也通过了所有安卓兼容性测试(Android CTS)，业内使用该测试程序证明，给定设备完全兼容安卓系统。所有在中国境内及国际市场上销售的小米设备均完全兼容安卓系统。

正文到此结束