6
王小二跟鄰居張大牛買了一只鵝。
張家出品的鵝號稱一條龍服務(wù),如果鵝生病一定會負(fù)責(zé)到底,要么治好,要么換鵝。不過,最近王小二發(fā)現(xiàn),張大牛總在王小二不注意或者夜半無人私語時來王家院子偷偷撿鵝糞。
王小二納悶了,張家到底在干嗎?是不是看上了我家翠花?他怒了,在集市上質(zhì)問張大牛,張大牛百口莫辯,只說撿鵝糞是為了看看鵝有沒有生病。
王小二將信將疑,他很生氣,那意思是以后時不時還有別家有別的借口來我家遛遛順點(diǎn)啥?
這個鄉(xiāng)村愛情故事可能和今天要說的事情有點(diǎn)關(guān)系。
你可能已經(jīng)習(xí)慣了這個場景——新手機(jī)會預(yù)裝一些APP,怎么刪都刪不掉。但是,手機(jī)制造商將這些APP和服務(wù)安裝在你手機(jī)上是否會有特別的目的?這些預(yù)裝的應(yīng)用又是否會威脅到機(jī)主的安全和隱私?
荷蘭的一位小伙對此就頗有疑問。
他是小米4的用戶。小伙有一天發(fā)現(xiàn),手機(jī)預(yù)裝了一個叫 AnalyticsCore.apk(com.miui.analytics)的應(yīng)用,會自動在后臺運(yùn)行。
小伙很生氣,他不喜歡未經(jīng)許可收集用戶信息的應(yīng)用,因此對它進(jìn)行了逆向工程,發(fā)現(xiàn)該應(yīng)用每24小時會訪問小米官方服務(wù)器檢查更新,在發(fā)送請求時它會同時發(fā)送設(shè)備的識別信息,包括手機(jī)的IMEI、型號、MAC地址、Nonce、包名字和簽名。如果服務(wù)器上有名叫Analytics.apk的更新應(yīng)用,它會自動下載和安裝,整個過程無需用戶干預(yù)。
如果應(yīng)用安裝時沒有任何驗(yàn)證,該漏洞能被黑客利用,或者小米只需要將想要安裝的應(yīng)用重命名為Analytics.apk就可以將其推送給用戶,而且該設(shè)備是通過HTTP發(fā)送請求和接收更新,這意味著用戶很容易遭到中間人攻擊。
看樣子,一個大新聞要搞出來了!
對此,小米的發(fā)言人表示,
AnalyticsCore是內(nèi)建在MIUI系統(tǒng)中的組件,主要用來分析數(shù)據(jù)以增強(qiáng)用戶體驗(yàn),比如說MIUI Error Analytics——小米的系統(tǒng)錯誤分析功能。
為了安全起見,MIUI會在軟件的安裝和升級期間檢查Analytics.apk應(yīng)用簽名,以確保載入的是擁有正確簽名的官方安卓軟件包。沒有官方簽名的安卓安裝包會被拒絕安裝,我們的軟件的自動升級功能都是為了更好的用戶體驗(yàn)。
在今年四月到五月期間發(fā)布的最新版本MIUI v7.3中,HTTPS協(xié)議能夠有效地保障數(shù)據(jù)傳輸安全,避免中間人攻擊。
究竟是怎么回事?我們再來挖一下。
HTTPS,是以安全為目標(biāo)的HTTP通道,簡單而言,是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個URI scheme(抽象標(biāo)識符體系),用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗(yàn)證層(在HTTP與TCP之間)。
小米的老版本用的是HTTP協(xié)議,確實(shí)埋了一個漏洞。某知名安全公司資深安全專家告訴雷鋒網(wǎng)宅客頻道(微信公眾號 ID:letshome),這是小米的一個預(yù)裝應(yīng)用的升級機(jī)制沒有做好安全措施,24小時升級一次,期間可以被中間人劫持替換。
新版用了HTTPS協(xié)議后,就意味著“可能被劫持”這個問題被解決了嗎?
該專家表示,官方雖然說用了HTTPS升級就無法被中間人劫持了,但新版他也不確定,老版是HTTP,24小時升級1次,場景對一般小黑客而言,要攻擊還是比較有限制,不過技術(shù)好點(diǎn)的黑客可以用NTP欺騙手機(jī)時間的方式攻擊,提高升級概率來劫持。
一旦發(fā)生劫持,惡意軟件就拿了一把鑰匙可以隨意打開你家的門,在手機(jī)上安家落戶。
還有一個BUG是,上傳設(shè)備隱私信息是明文。
這個問題在知乎也引起了討論,知乎用戶 Android Framework認(rèn)為:
小米不能背鍋。
所謂的漏洞,其實(shí)是小米開發(fā)的一個功能,會有簽名檢查一類的機(jī)制來盡量保障大家的設(shè)備不被利用;所謂的信息收集,我覺得其實(shí)是對小米的不信任,同樣的事情 Google 在做,Apple 也在做。
以下是他的詳扒過程:(知乎用戶 Android Framework 如何評價 MIUI 的 AnalyticsCore 后門?)
看到 @vczh 輪子哥關(guān)注了這個問題,正好有相關(guān)背景,回答一記。
利益相關(guān): 米黑(小米1,小米4用戶)。
先說結(jié)論:這個鍋不能讓小米背。
很多 Android 用戶很詬病的一點(diǎn)是國內(nèi) Android 手機(jī)都沒有 GMS 服務(wù),并且稱其為“安卓”或者說是閹割版的 Android。
有人說谷歌移動服務(wù)(簡稱GMS,包括gtalk,gmail等)是Android的精髓,沒有GMS就不算真正的Android,這個說法不太對,連谷歌自己都不是這么認(rèn)為的。谷歌開源的Android代碼不包含任何GMS應(yīng)用;在谷歌內(nèi)部,Android和GMS是兩個獨(dú)立的團(tuán)隊(duì),GMS經(jīng)常先推出iPhone版然后才發(fā)布Android版的。
現(xiàn)在 Google 已經(jīng)越來越收緊對 Android 的控制權(quán)限,AOSP 中 CPS(聯(lián)系人,電話,短信)應(yīng)用已經(jīng)萬年不更新,倒是這些模塊的 GMS 版本都更新的很勤快,這不,最近連騷擾攔截這種 MIUI 幾乎從最初版本就有的“高大上”的功能也上線了。打個岔,聽說最近的 iOS 10 也有這個功能了。
http://www.androidpolice.com/2016/07/25/googles-phone-app-now-shows-a-warning-about-spam-callers-and-makes-it-easy-to-block-and-report-them-apk-download/。
但是,有點(diǎn)實(shí)力的 OEM 其實(shí)都不太關(guān)心這個了,因?yàn)榇蠹乙霾町惢鲇脩趔w驗(yàn),這些模塊當(dāng)然自己開發(fā)了。比如 CPS 好像是 MIUI 的重點(diǎn),大家可以自行搜索 11 年的舊聞 “雷軍揭秘小米:用CPS重新發(fā)明手機(jī)”。
回到正題,
請問非小米的 Android 用戶,你們的手機(jī)中在 /system/app 中有沒有一個 PlayAutoInstallConfig.apk 的應(yīng)用呢。(各位國產(chǎn)機(jī)和國行用戶就別找了,你們是肯定不會有的。因?yàn)椋銈冞B Google 服務(wù)都沒有啊!)Nexus 用戶:
android.autoinstalls.config.google.nexus
android.autoinstalls.config.google.fugu
ASUS 用戶:
android.autoinstalls.config.asus.pai
HTC 用戶:
android.autoinstalls.config.htc.htc_pmeuhl-1
其他廠商的就不一一找出來列舉了。
AOSP中包管理的程序是:PackageInstaller.apk pkgName=com.android.packageinstaller
而帶有 GMS 包中有 Google 的一堆應(yīng)用,其中包含:
GooglePackageInstaller.apk pkgName=com.google.android.packageinstaller
注意到了沒有?這兩個用于管理(安裝,卸載等)程序的程序是 不一樣 的!
Google Play 靜默安裝
Google 在 Android L 之后引入了一個新的功能"PlayAutoInstalls",簡稱 PAI。
相關(guān)功能介紹:
Android 5.0 Lollipop feature: Play Auto Installs bloatware removal
http://www.androidpolice.com/2014/10/28/android-5-0-lollipop-feature-spotlight-carriers-can-now-have-google-play-install-their-crapware-automatically-which-is-good-maybe/
官方開發(fā)者頁面戳這:
https://developers.google.com/android-partner/reference/rest/v1/playAutoInstalls
簡單來說,就家伙是在用戶第一次開機(jī)的時候,走開機(jī)引導(dǎo)流程,登錄 google 賬戶的過程中,在后臺默默的給你裝一些應(yīng)用,一般來說會是運(yùn)營商全家桶。本來嘛,這個功能就是為了 OEM 適應(yīng)不同的地區(qū),不同的運(yùn)營商做的。
當(dāng)然, Google 得知道你的一些信息才能給你裝上對應(yīng)的全家桶,
不然難道給一個聯(lián)通的用戶裝一堆移動或者電信的全家桶?
既然它可以在第一次開機(jī)的過程中做這些事情,那你們猜猜,不是第一次開機(jī)的時候它能不能做這些呢?給你們一次機(jī)會,我相信你們是不會猜錯的。
它不止可以在后臺安裝程序哦,還可以修改你的桌面布局
https://android.googlesource.com/platform/packages/apps/Launcher3/+/android-5.0.2_r1/src/com/android/launcher3/AutoInstallsLayout.javastatic final String ACTION_LAUNCHER_CUSTOMIZATION =
"android.autoinstalls.config.action.PLAY_AUTO_INSTALL";
如果非要說小米收集你的信息了,那請仔細(xì)閱讀一下小米手機(jī)的《用戶協(xié)議》。
綜上,
所謂的漏洞,其實(shí)是小米開發(fā)的一個功能,會有簽名檢查一類的機(jī)制來盡量保障大家的設(shè)備不被利用;所謂的信息收集,我覺得其實(shí)是對小米的不信任,同樣的事情 Google 在做,Apple 也在做。
不過話說回來,小米使用HTTP進(jìn)行連接,有點(diǎn)說不過去。
上述專家認(rèn)為,這個就看官方怎么解釋這個APP的功能了,如果是手機(jī)性能測試收集或者crash分析程序的話,算是正常。他指出,別的系統(tǒng)也有類似功能,比如程序crash了要分析上傳崩潰日志。
如何屏蔽這樣的秘密安裝呢?權(quán)宜之計是利用防火墻屏蔽掉所有通向小米相關(guān)域名的連接。
但這樣會有什么后果?該安全專家提醒——只屏蔽這個APP的升級地址沒問題,如果把升級地址的整個域名都屏蔽了,就會影響MIUI的其他升級。
他表示:
如果他們的最新版本和他們聲明一樣,可以不用擔(dān)心黑客劫持升級和明文傳輸設(shè)備隱私信息這些事了。但是之前的屏蔽還是有效的,你繼續(xù)屏蔽也升級不到他們聲明的最新版本,哈哈!
你可能想多了。預(yù)裝APP常常有最高權(quán)限,用戶可能刪除不掉,而且靜默升級,你可能也意識不到需要提防。其他APP雖然也可以有類似的問題,但一旦發(fā)現(xiàn),刪除起來容易多了!
最后,如果你想圍觀一把荷蘭兄弟的質(zhì)疑帖,網(wǎng)址在這里:https://www.thijsbroenink.com/2016/09/xiaomis-analytics-app-reverse-engineered/
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
