酷派手机木马事件的真相是什么?
这个程序设计出来的的主要目的包括三个方面,一是作为OTA功能的辅助模块,对操作系统OTA过程中可能会遇到的异常情况进行预处理,提高OTA成功率;二对手机进行保护,防止第三方软件恶意卸载系统软件带来系统不稳定性,三是作为应用商店的服务程序给用户提供更及时和准确的应用软件下载更新功能
作者:CN314,又名中国派,关注手机十五年
前几天看到一篇文章,讲酷派的OS如何的不安全,如何的把用户当肉鸡来进行非法谋利,如何的窃取用户信息,简直把酷派说成是一个十恶不赦的大坏蛋。因为我自己用的就是酷派的 真硬件双隔离 铂顿安全手机,花了我四千多人民币,如果真像这位仁兄所说的如此的不安全,那我岂不是吃了大亏?不行,必须找酷派去退货。
但是,当我看完这篇文章之后,却对这些所谓的证据及结论产生了怀疑,难道真相确如这位仁兄所说吗?
事件来源:
这个事件最早确实是由安全漏洞汇报网站 乌云网爆出来的。这是一个很专业的网站,例如荣耀手机的电话功能可能被APP利用造成用户扣费的漏洞就是它们曝光的,这次曝光酷派的平台漏洞,内容和证据也是相当的详尽,我总结了一下大约有以下几个风险:
1、在未经用户同意或发出通知的情况下,下载、安装、激活任意Android应用;
2、清除用户数据,卸载现有应用以及禁用系统应用;
3、通知用户进行伪造OTA升级,实际上并不会更新设备,但会安装用户不想要的应用;
4、向手机中发送或插入任意短信或彩信;
5、拨打任意手机号码;
6、向酷派服务器上传设备信息,包括地理位置、应用使用、电话、短信等历史记录。
事实并非是你看到的这样
在这次事件中,乌云和Palo Alto Networks一直强调的 CoolReaper 这个程序,也叫CP_DMP 程序,是一个设备管理服务程序,全名为Device Management Platform。这个程序设计出来的的主要目的包括三个方面,一是作为OTA功能的辅助模块,对操作系统OTA过程中可能会遇到的异常情况进行预处理,提高OTA成功率;二对手机进行保护,防止第三方软件恶意卸载系统软件带来系统不稳定性,三是作为应用商店的服务程序给用户提供更及时和准确的应用软件下载更新功能,说到底,都是为了用户体验着想。
那么为什么会被Palo Alto Networks及更多的病毒机构认定为恶意行为了?我一个做手机安全的朋友和我说,像乌云和Palo Alto Networks这样的机构更多的是通过代码反编译的方式来获取部分代码进行猜测,用DMP所具备的可能能力看作最终结果行为,有点太武断,就像盲人摸象一样。
举个例子,中国每年因道路交通安全事故伤亡人数超过20万人,那你就认为汽车不安全必须禁止?可是汽车给人们生产生活带来的便利和效率你看到了吗?当然,这样的论点是有些偏颇,但不能说它错,因为汽车带来的交通事故确实有近二十万的伤亡,但是它是好还是坏,主要还要看用它的人。
所谓后门的真相
我不是技术大拿,但是乌云和Palo Alto Networks针对CoolReaper 这个程序提出了六个方面的危害,我有一些自己的看法:
后门行为一: 在未经用户同意或发出通知的情况下,下载、安装、激活任意Android应用。
我的看法是:如果开启应用商店的WI-FI环境下自动升级功能,当检测到有应用新版本时,会提醒用户进行下载更新版本,用户确认后,会一键进行下载安装,下载安装完成后,会提醒用户选择确定还是立即激活应用体验。
为了提升用户体验,有些厂商的OS会支持静默安装功能,减少用户操作步骤,但如果在未经用户同意的情况下进行应用激活,这是不允许的。这种做法也是主流应用商店的通用做法,不信你们去试试百度手机助手这些,包括其它手机厂商的相关应用商店服务应用,也许会抓出来很多所谓的后门木马程序出来,而实际上只是一个普通的升级程序,杀毒软件的误报也不是一次二次的稀罕事了。
后门行为二:清除用户数据,卸载现有应用以及禁用系统应用;
我的看法:首先 清除用户数据 这个猜测是错的,这个应用的起因是有用户投诉酷派部分应用软件存在长时间运行后数据损坏或异常,无法正常使用,即使OTA也无法解决的问题,因此在设计DMP时添加了删除指定应用数据的功能,如果用户出现应用数据损坏并主动申请强行处理时,能对该用户进行特别处理。
我曾经就此单独采访过酷派相关的人员。DMP设计此功能的主要目的是针对酷派自身应用软件,目前现在的很多管家类软件已具备此功能,而酷派这个功能只能说是具备,但是不是使用过,这是两个概念。
至于DMP 管理服务程序具备卸载应用的功能,在设计时主要考虑是国内手机从出厂到销售,中间存在渠道刷机环节,有些渠道为了提升收入,会在手机销售之前刷机植入软件,导致手机存储空间和内存空间被占用,用户后续使用手机时出现卡顿,更严重的是OTA官方软件版本会一直失败,因此需要提醒用户卸载不必要、一直不使用的应用程序,这部分功能移植到酷管家中了,在DMP中实际没有使用。第三个禁用系统应用功能,手机厂家应用较多,有些用户希望自己下载第三方应用替换原厂应用,而原厂应用一般是不可删除和卸载的,只能禁用,因此针对用户的需求,DMP提供了禁用系统应用功能,设计目的是针对酷派自带的原厂应用。
某文说要删除这些原厂应用,必须要ROOT。可是他不明白,如果安卓手机ROOT后就像是脱光了衣服,安全性更不要说了,讨论这些后门更没有意义,因为木马这些不用吹灰之力就能入侵你的系统,还用得着什么后门了。
直白的讲,这个应用的出发点就是即能让用户自主选择是否禁用原厂的一些运营商应用,也能保护用户的手机基本安全,怎么就成了木马了?
后门行为三:通知用户进行伪造OTA升级,实际上并不会更新设备,但会安装用户不想要的应用;
这完全就是一种猜想,我们知道手机在出厂后,由于持续提升用户体验,软件版本经常需要更新。传统的做法是为了升级一款APP,需要出一个整体的OTA ROM包进行升级,一方面整机ROM出版本升级开发成本较高,时间周期较长,而且用户升级ROM需要重启手机才能完成,用户体验不好。所以酷派增加了一项新的功能,对系统APP单独进行升级,减少流量消耗,简化操作,提高用户体验。
当有版本更新时,会弹框提示用户进行下载升级,除了业务流程和OTA接近外,界面也完全不同,不存在任何伪装,也不存在安装用户不想要的应用。
某文指责酷派推送某些用户不需要的软件,由此来谋取暴利。这个说法,表面上来看是有依据的,因为靠软件激活及游戏分成收入是手机厂商目前新增的一个收入来源,因为硬件利润实在太低,也由此滋生了一个约百亿级的市场。但是,我们要分清楚一点,就是酷派推送的是什么,如果是恶意扣费软件,那这个就是不可饶恕的,但是如果是跟用户相关的软件,你就不能进行指责,一切以用户的需求为出发点的应用都是好服务,这是我的观点。至于说,游戏里有扣钱的,那这就是游戏开发公司的问题,也是整个安卓系统业态的问题,打在酷派一家身上,有点冤了!但是酷派必须加强管理,将一些山寨应用挡在门外,这才是最重要的。
后门行为四:向手机中发送或插入任意短信或彩信;
这个我特地问过酷派的开发人员,他们说酷派的应用商店在产品规划时有一项功能,当用户发现好的应用,希望分享给好友时,能通过短信分享应用商店下载链接,邀请好友下载使用,故在DMP中有相关的短信处理代码。而在最终应用商店的发布版本中,并没有找到完整的此功能实现。
后门行为五: 拨打任意手机号码;
用户在使用过程中可能存在兼容性问题,为了给用户提供更方便快捷的反馈渠道,在产品设计上增加了一项功能,用户在用户过程上如何任何问题可能点击链接拉起拨号盘给酷派客服打电话,目的是为了提供给用户沟通互动的渠道。但是,从前面华为荣耀的情况看,这种情况很容易会让扣费软件找到机会,所以还是要请酷派提高安全等级,防范这样 的事件发生。
后门行为六: 向酷派服务器上传设备信息,包括地理位置、应用使用、电话、短信等历史记录。
我们了解到的情况是,通常用户在新购机后第一次激活时,会有一个注册过程,将设备基本的IMEI SN等信息注册回来,用于渠道销售管理,类似于中国移动的DM,这也是业界通用做法,目的是为了更好的服务用户。
另外,在使用软件时,会采集用户安装应用列表,用于应用的更新及升级,只是用于应用更新计算,并不会保存,这也是应用商店的通用做法。对电话,短信等涉及用户个人隐私的数据记录,酷派也是严格遵守工信部规范,没有做任何相关采集动作。
OK,事情基于此就算完结了?酷派真是一清二白?没有任何的责任?不是,绝对不是!例如大家投诉较多的后台推送广告这事,酷派就太频繁了,虽然是移动互联网下的一种运营模式,但是给用户的体验不太好,这点希望酷派进行整改,在营收和用户体验上找出来一个平衡的点。
至于木马后门的说法,咱们还是凭事实说话吧,别显得太不专业了,还把360也拉进来。
整个事件又将炒红 真安全手机
这个事件八月份就曝光了,但是为什么十二月才发酵扩散,而且是在360宣布合资酷派推互联网手机之后?而且先是在国内乌云网曝出来,然后传到国外的Palo Alto Networks,闹得华尔街人人皆知,然后 数字公司 的股价?接下来,又出现一个所谓的APK推送后台(实则是酷派开发服务已经废除的一个平台,没有人维护,结果被黑客攻破),被国内的一帮某五百强圈养的写手跳出来歪曲利用,高声指责,绑架民意,误导用户……
对于国外Palo Alto Networks的结论,我觉得可以原谅,必竟他们不知道代码,也不明白中国国内的APK市场乱像及运营现实情况,所以把一些服务于用户,在他们看来又不是特别规范的行为视为恶意,这个是可以理解的。
我不明白的是,这些可以说清楚的事,为什么到了国内就上升到恶意木马后门的高度,是我们需要眼球还是我们的节操满地找?我不禁要问,是什么样的能量才能造成这么大的影响来打击对手,也或者是什么样的对手才能对酷派做安全手机感受到这么大的危机感,借用中国的一句古话:相煎何相急。
也许以上只是一种猜测,但这种猜测最好不要变成现实,不然就真的没有 节操 到底了!反过来,作为希望保障自身个人信息安全的用户,我们也在思考一个问题,就是乌云网曝出来的这种种的问题,难道只存在于酷派一家?华为没有?中兴没有?只要是安卓手机,这些问题或多或少都会有,这是安卓技术层面上的缺陷,而不能将板子打在一家身上,这样是不公平的。解决安卓系统的安全问题,是一个行业问题,需要所有的厂商来重视和支持。
真正的安全手机在哪里?基于安卓平台,共同一套存储介质,你不可能有一个真正安全的手机,无论是中兴还是华为,都只能是软件层面上的部分安全,说不定哪个木马就绕过来漏洞侵入系统,你问问这二家谁敢保证自己的绝对安全,哪个是银行级的加密水准?而酷派的铂顿,采用的是双系统硬件隔离,其中的安全系统是完全隔离,不能上网,但能打电话 发短信,隔绝了病毒的来源,你还怕什么资料外泄吗?这也许才是真正的安全手机,幸运的是,我在用它!
原文网址:http://www.szxxg.com/shenzhen/20141223/12866.html信息首发:酷派手机木马事件的真相是什么?
酷派 手机木马