abusesaffiliationarrow-downarrow-leftarrow-rightarrow-upattack-typeburgerchevron-downchevron-leftchevron-rightchevron-upClock iconclosedeletedevelopment-povertydiscriminationdollardownloademailenvironmentexternal-linkfacebookfiltergenderglobegroupshealthC4067174-3DD9-4B9E-AD64-284FDAAE6338@1xinformation-outlineinformationinstagraminvestment-trade-globalisationissueslabourlanguagesShapeCombined Shapeline, chart, up, arrow, graphLinkedInlocationmap-pinminusnewsorganisationotheroverviewpluspreviewArtboard 185profilerefreshIconnewssearchsecurityPathStock downStock steadyStock uptagticktooltiptwitteruniversalityweb

內容有以下的語言版本: 简体中文

文章

2016年9月17日

作者:
孙毛毛, Freebuf,
作者:
孫毛毛, Freebuf

可遠程安裝任意APP,小米手機藏後門?小米官方否認

…小米是全球最大的手機運營商之一,但這已經不是國外媒體首次針對小米手機擴散惡意程序做出指控了:包括在未經用戶許可的情況下竊取用戶數據,MIUI系統中許多應用包含大量廣告等。小米可以在用戶不知情的情況下安裝任意APP…

Broenink…發現該應用每24小時就會向小米官方服務器發送檢查請求,查看服務器上是否有AnalyticsCore.apk的更新版本…如果小米服務器上有名為Analytics.apk的軟件更新包,小米就會在神不知鬼不覺的情況下自動下載安裝更新,用戶完全不會察覺到…這種更新方式是否存在安全隱患也很值得探究。 Broenink就發現,在應用的整個自動安裝過程中,似乎不會對APK進行驗證。這也就意味著,黑客也是可以利用這一過程的。 …

小米的發言…提道:“AnalyticsCore是內建在MIUI系統中的組件,主要用來分析數據以增強用戶體驗,比如說MIUI Error Analytics——小米的系統錯誤分析功能。” 另外,小米還澄清道說這個功能絕不會被黑客利用。 “為了安全起見,MIUI會在軟件的安裝和升級期間檢查Analytics.apk應用簽名,以確保載入的是擁有正確簽名的官方安卓軟件包。”小米發言人補充道…