成都app開發(fā)，就找源昇科技  

王小二跟鄰居張大牛買了一只鵝。

張家出品的鵝號稱一條龍服務(wù)，如果鵝生病一定會負(fù)責(zé)到底，要么治好，要么換鵝。不過，最近王小二發(fā)現(xiàn)，張大�？傇谕跣《�不注意或者夜半無人私語時來王家院子偷偷撿鵝糞。

王小二納悶了，張家到底在干嗎？是不是看上了我家翠花？他怒了，在集市上質(zhì)問張大牛，張大牛百口莫辯，只說撿鵝糞是為了看看鵝有沒有生病。

王小二將信將疑，他很生氣，那意思是以后時不時還有別家有別的借口來我家遛遛順點(diǎn)啥？

這個鄉(xiāng)村愛情故事可能和今天要說的事情有點(diǎn)關(guān)系。

你可能已經(jīng)習(xí)慣了這個場景——新手機(jī)會預(yù)裝一些APP，怎么刪都刪不掉。但是，手機(jī)制造商將這些APP和服務(wù)安裝在你手機(jī)上是否會有特別的目的？這些預(yù)裝的應(yīng)用又是否會威脅到機(jī)主的安全和隱私？  

荷蘭的一位小伙對此就頗有疑問。

他是小米4的用戶。小伙有一天發(fā)現(xiàn)，手機(jī)預(yù)裝了一個叫 AnalyticsCore.apk（com.miui.analytics）的應(yīng)用，會自動在后臺運(yùn)行。

小伙很生氣，他不喜歡未經(jīng)許可收集用戶信息的應(yīng)用，因此對它進(jìn)行了逆向工程，發(fā)現(xiàn)該應(yīng)用每24小時會訪問小米官方服務(wù)器檢查更新，在發(fā)送請求時它會同時發(fā)送設(shè)備的識別信息，包括手機(jī)的IMEI、型號、MAC地址、Nonce、包名字和簽名。如果服務(wù)器上有名叫Analytics.apk的更新應(yīng)用，它會自動下載和安裝，整個過程無需用戶干預(yù)。

如果應(yīng)用安裝時沒有任何驗(yàn)證，該漏洞能被黑客利用，或者小米只需要將想要安裝的應(yīng)用重命名為Analytics.apk就可以將其推送給用戶，而且該設(shè)備是通過HTTP發(fā)送請求和接收更新，這意味著用戶很容易遭到中間人攻擊。

看樣子，一個大新聞要搞出來了！

對此，小米的發(fā)言人表示，

AnalyticsCore是內(nèi)建在MIUI系統(tǒng)中的組件，主要用來分析數(shù)據(jù)以增強(qiáng)用戶體驗(yàn)，比如說MIUI Error Analytics——小米的系統(tǒng)錯誤分析功能。

為了安全起見，MIUI會在軟件的安裝和升級期間檢查Analytics.apk應(yīng)用簽名，以確保載入的是擁有正確簽名的官方安卓軟件包。沒有官方簽名的安卓安裝包會被拒絕安裝，我們的軟件的自動升級功能都是為了更好的用戶體驗(yàn)。

在今年四月到五月期間發(fā)布的最新版本MIUI v7.3中，HTTPS協(xié)議能夠有效地保障數(shù)據(jù)傳輸安全，避免中間人攻擊。

成都app開發(fā)，就找源昇科技  

究竟是怎么回事？我們再來挖一下。

1、BUG在哪里？

HTTPS，是以安全為目標(biāo)的HTTP通道，簡單而言，是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個URI scheme（抽象標(biāo)識符體系），用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗(yàn)證層（在HTTP與TCP之間）。

小米的老版本用的是HTTP協(xié)議，確實(shí)埋了一個漏洞。某知名安全公司資深安全專家告訴雷鋒網(wǎng)，這是小米的一個預(yù)裝應(yīng)用的升級機(jī)制沒有做好安全措施，24小時升級一次，期間可以被中間人劫持替換。

新版用了HTTPS協(xié)議后，就意味著“可能被劫持”這個問題被解決了嗎？

該專家表示，官方雖然說用了HTTPS升級就無法被中間人劫持了，但新版他也不確定，老版是HTTP，24小時升級1次，場景對一般小黑客而言，要攻擊還是比較有限制，不過技術(shù)好點(diǎn)的黑客可以用NTP欺騙手機(jī)時間的方式攻擊，提高升級概率來劫持。

一旦發(fā)生劫持，惡意軟件就拿了一把鑰匙可以隨意打開你家的門，在手機(jī)上安家落戶。

還有一個BUG是，上傳設(shè)備隱私信息是明文。

2、小米真的在竊取用戶隱私嗎？

這個問題在知乎也引起了討論，知乎用戶 Android Framework認(rèn)為：

小米不能背鍋。

所謂的漏洞，其實(shí)是小米開發(fā)的一個功能，會有簽名檢查一類的機(jī)制來盡量保障大家的設(shè)備不被利用；所謂的信息收集，我覺得其實(shí)是對小米的不信任，同樣的事情 Google 在做，Apple 也在做。

成都app開發(fā)，就找源昇科技  

以下是他的詳扒過程：

上述專家認(rèn)為，這個就看官方怎么解釋這個APP的功能了，如果是手機(jī)性能測試收集或者crash分析程序的話，算是正常。他指出，別的系統(tǒng)也有類似功能，比如程序crash了要分析上傳崩潰日志。

3、怎么處理？

如何屏蔽這樣的秘密安裝呢？權(quán)宜之計是利用防火墻屏蔽掉所有通向小米相關(guān)域名的連接。

但這樣會有什么后果？該安全專家提醒——只屏蔽這個APP的升級地址沒問題，如果把升級地址的整個域名都屏蔽了，就會影響MIUI的其他升級。

他表示：

如果他們的最新版本和他們聲明一樣，可以不用擔(dān)心黑客劫持升級和明文傳輸設(shè)備隱私信息這些事了。但是之前的屏蔽還是有效的，你繼續(xù)屏蔽也升級不到他們聲明的最新版本，哈哈！

4、其他APP可以套路嗎？

你可能想多了。預(yù)裝APP常常有最高權(quán)限，用戶可能刪除不掉，而且靜默升級，你可能也意識不到需要提防。其他APP雖然也可以有類似的問題，但一旦發(fā)現(xiàn)，刪除起來容易多了！

最后，如果你想圍觀一把荷蘭兄弟的質(zhì)疑帖，網(wǎng)址在這里。

來源：威鋒網(wǎng)