文/小編也瘋狂 首發(fā)于百度百家
酷派被國外安全研究公司Palo Alto Networks發(fā)現(xiàn)故意在其二十多款機(jī)型中安裝了一個(gè)名為“CoolReaper”的后門,它可以在用戶未允許的情況下安裝未知應(yīng)用、可以任意發(fā)送短信或撥打電話、清除用戶信息、通過偽裝OTA軟件升級安裝其他應(yīng)用,并且會上傳設(shè)備信息至酷派服務(wù)器。但隨后酷派官方回應(yīng)稱:“CoolReaper”程序?qū)崬榭崤蓱?yīng)用商店的支撐服務(wù),用來為用戶推送新版軟件、分析發(fā)現(xiàn)終端上的惡意軟件并向用戶預(yù)警、提示卸載,其目的是為了給用戶提供更好的安全體驗(yàn)。不過由于管理疏忽,該軟件被不恰當(dāng)?shù)挠糜诮o用戶推送軟件升級通知和促銷廣告。一個(gè)說是“后門”,一個(gè)說是“支撐服務(wù)”,“CoolReaper”到底是什么?
“CoolReaper”到底是什么?
關(guān)于“CoolReaper”的問題,我特意找了一位安全領(lǐng)域的朋友了解了下相關(guān)情況。據(jù)他分析“CoolReaper”應(yīng)該是DMP程序,這種程序一般都被手機(jī)廠商用在三個(gè)方面,一是保護(hù)手機(jī)自帶系統(tǒng)軟件不被惡意軟件卸載;二是為應(yīng)用商店提供軟件下載更新;三是輔助OTA。
注意,看到這里可能大家都覺的“CoolReaper”是安全的,沒有問題的,但事實(shí)并非如此!如果依照Palo Alto Networks和烏云這樣的機(jī)構(gòu)通過代碼反編譯獲取部分代碼進(jìn)行行為猜測的話,“CoolReaper”是可以實(shí)現(xiàn)在用戶未允許的情況下安裝未知應(yīng)用、可以任意發(fā)送短信或撥打電話、清除用戶信息、通過偽裝OTA軟件升級安裝其他應(yīng)用,并且會上傳設(shè)備信息至酷派服務(wù)器等一些列行為的。換句話說,“CoolReaper”盡管是被開發(fā)出來用作系統(tǒng)正規(guī)服務(wù)的程序,但是確實(shí)存在安全隱患,可以被當(dāng)做“后門”來使用。
酷派利用“CoolReaper”都做了些什么?
“CoolReaper”在酷派手機(jī)系統(tǒng)支撐方面的服務(wù)肯定有,但是我們在此就不做展開,主要討論的還是它的爭議點(diǎn)。從目前看到酷派用戶的反饋點(diǎn)來說,主要有兩個(gè)方面:第一,推送廣告。“CoolReaper”其實(shí)就是“CP_DMP.apk”,在之前的安卓技術(shù)論壇,就有人不堪酷派的廣告騷擾憤而刪除此程序,但結(jié)果恰恰證明,酷派確實(shí)是利用這個(gè)程序在推送各種促銷廣告。第二,偽裝OTA系統(tǒng)升級,安裝用戶不需要的程序。這一點(diǎn)盡管酷派官方回應(yīng)說只是彈框提示升級官方軟件,但確實(shí)給用戶造成了困擾。從這兩點(diǎn)上來說,酷派確實(shí)已經(jīng)犯了無法推卸的錯(cuò)誤,不僅嚴(yán)重破壞了用戶體驗(yàn),而且還造成“CoolReaper”成為“后門”的重大嫌疑!
除了以上兩點(diǎn),“CoolReaper”被Palo Alto Networks和烏云描述為還有其他“功能”。清除用戶數(shù)據(jù),卸載現(xiàn)有應(yīng)用以及禁用系統(tǒng)應(yīng)用,這個(gè)功能盡管目前很多管家甚至APP商店都具備此功能,我個(gè)人覺的這項(xiàng)功能并沒有什么問題,也沒有證據(jù)表明酷派使用過這項(xiàng)功能。向手機(jī)中發(fā)送或插入任意短信或彩信;撥打任意手機(jī)號碼,這兩項(xiàng)功能很有意思,盡管酷派解釋是為了分享和售后服務(wù)的便利,但我個(gè)人卻認(rèn)為,這兩項(xiàng)功能應(yīng)該是為將來的推送“促銷廣告”做準(zhǔn)備的,目前并沒有開啟。向酷派服務(wù)器上傳設(shè)備信息,包括地理位置、應(yīng)用使用、電話、短信等歷史記錄,目前只要是個(gè)APP幾乎都要讀取這些信息,似乎已是司空見慣,但作為罪名的一項(xiàng),卻是有點(diǎn)吹毛求疵了,話又說回來,廠商手機(jī)這些信息也是沒有多大用處,但尬尷的是“CoolReaper”確實(shí)具備這個(gè)功能。
廣告并不能成為危及公眾安全的借口
在酷派官方的回應(yīng)中,把此次“CoolReaper”對用戶造成的安全危害,完全推到自己用來推送“促銷廣告”的疏忽上,我認(rèn)為是極其的不負(fù)責(zé)任。盡管“CoolReaper”并非是為黑客活動(dòng)而開發(fā)(否則就是違法了?。?,但是卻間接地對酷派用戶的安全造成了巨大威脅?!癈oolReaper”極其容易被惡意黑客利用,對用戶隱私和財(cái)產(chǎn)安全造成不利影響。但在事件的背后,我也在思考,在大規(guī)模推送廣告對用戶已經(jīng)構(gòu)成困擾的情況下,酷派官方難道沒有收到反饋?為什么沒有采取行動(dòng),任由這種行為持續(xù)以致造成今天的惡果?
在如今的傳統(tǒng)互聯(lián)網(wǎng)市場乃至移動(dòng)互聯(lián)網(wǎng)市場,彈窗廣告和應(yīng)用分發(fā)已是相對成熟的廣告盈利方式,很多有大量用戶基數(shù)的產(chǎn)品都在投放這一類型廣告。于是乎,在利潤的誘惑下,很多廠商背離了用戶體驗(yàn)為王的根本,千方百計(jì)的追逐廣告效益的最大化。像“CoolReaper”推送廣告的這種行為,無論你怎么root和卸載應(yīng)用程序,都無法避免的要接受廣告的騷擾,頑固的近乎流氓。不可否認(rèn)的是,如果沒有大量的廣告利潤的趨勢,也許不會有“CoolReaper”這樣的程序存在,或許說及時(shí)存在,也許“神通”不會這么廣大。但我想說的是,無論怎樣,廣告并不能成為危及公眾安全的借口,酷派應(yīng)該反思,自重!
作者微博:@小編也瘋狂 微信訂閱號:小編也瘋狂(id:xiaobianyefengkuang)
小編也瘋狂的文章也出現(xiàn)在:百度百家、今日頭條、iDoNews專欄、艾瑞專欄、界面、速途網(wǎng)、虎嗅、藍(lán)鯨TMT、鞭牛士、搜狐IT、搜狐新聞客戶端等媒體
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。