由假小米手機(jī)談到Android分化資安隱憂

關(guān)鍵字：Android系統(tǒng)ROM  小米MIUI  移動(dòng)設(shè)備數(shù)據(jù)安全  電子設(shè)計(jì)模塊

從Bluebox上當(dāng)事件學(xué)到的教訓(xùn)…

而Bluebox相信，他們的上當(dāng)經(jīng)驗(yàn)凸顯了幾個(gè)問題；該公司首席安全分析師Andrew Blaich接受EETimes采訪時(shí)表示："首先，我們不能完全相信自己正在使用的設(shè)備。"就算是Bluebox 這樣的安全專家，也很難確認(rèn)設(shè)備的軟硬件可信賴度。

"第二，我們現(xiàn)在知道，就算是合法的硬件設(shè)備，軟件也能很輕易地被調(diào)包；"Blaich指出："換句話說，無論設(shè)備是否為仿冒品，事實(shí)是消費(fèi)者所購(gòu)買的設(shè)備里面的ROM (無論是合法或仿冒硬件)，就會(huì)讓他們的個(gè)資面臨風(fēng)險(xiǎn)。"

小米對(duì)于自家以Android為基礎(chǔ)的操作系統(tǒng)MIUI非常自豪，該公司將之視為產(chǎn)品廣受歡迎的原因之一；不過Bluebox一開始就認(rèn)為MIUI是"Android的分支(未取得官方認(rèn)證)，而且不包含Google的服務(wù)"。

但后來Blaich坦承其錯(cuò)誤，并表示在咨詢過小米的安全團(tuán)隊(duì)之后，Bluebox了解到，小米是"走出了自己的路"來"遵循所有的Android最佳實(shí)踐"。

小米在針對(duì)Bluebox原始報(bào)告的響應(yīng)中表示："MIUI是純粹的Android，這意味著MIUI確實(shí)遵循了Android CDD，也就是Google對(duì)兼容Android設(shè)備的定義；而且它通過了所有Android CTS測(cè)試，該程序是產(chǎn)業(yè)界所使用、確保既定設(shè)備是完全能與Android兼容。在中國(guó)市場(chǎng)與國(guó)際市場(chǎng)銷售的小米設(shè)備都是完全能與Android兼容的。"

如何確認(rèn)設(shè)備的可信賴度？

如Bluebox所言，要如同資安廠商那樣進(jìn)行測(cè)試來確認(rèn)小米設(shè)備的可信賴度，所需花費(fèi)的工夫超過了一般消費(fèi)者愿意為確保購(gòu)買的產(chǎn)品是正品所付出的。

而后來證實(shí)，在小米手機(jī)上裝載的MIUI ROM已經(jīng)被修改過，能繞過Google的AntiFake辨別真?zhèn)螒?yīng)用程序。Bluebox的實(shí)驗(yàn)室發(fā)現(xiàn)："在SD卡上有一個(gè)隱藏的目錄(directory)，名為.apk，在這個(gè)隱藏目錄中有一些Android應(yīng)用程序套件檔案(APK)，扮演類似CPU-Z應(yīng)用程序的角色，以及某個(gè)版本的AntiFake應(yīng)用程序。"

Blaich表示，如果使用者嘗試在手機(jī)上安裝的某個(gè)應(yīng)用程序與那些套件檔案相對(duì)應(yīng)，SD記憶卡上的該應(yīng)用程序就會(huì)取代用戶打算下載的那個(gè)真的應(yīng)用程序，這是手機(jī)的ROM用以繞過認(rèn)證程序的一種方法。

手機(jī)中加入獨(dú)家傳感器避免風(fēng)險(xiǎn)

究竟中國(guó)品牌的智能有多少是采用Android操作系統(tǒng)的"分支"？對(duì)此Blaich表示Bluebox也沒有確切的數(shù)據(jù)，他強(qiáng)調(diào)他們所做的調(diào)查并沒有獲得Google的報(bào)酬，也不是要特別針對(duì)中國(guó)的智能執(zhí)行什么維持治安任務(wù)。

Blaich解釋，中國(guó)手機(jī)廠商的動(dòng)機(jī)完全有可能只是為了建立自己的生態(tài)系統(tǒng)，開發(fā)一些讓自家手機(jī)品牌與云端服務(wù)、應(yīng)用程序商店鏈接的置入性|服務(wù)。

大多數(shù)中國(guó)智能廠商只在中國(guó)市場(chǎng)銷售產(chǎn)品，發(fā)現(xiàn)沒有具說服力的理由讓它們一定要遵循Android CDD與CTS，因?yàn)镚oogle的服務(wù)在中國(guó)市場(chǎng)是被禁止的；Bluebox認(rèn)為，中國(guó)廠商開發(fā)的移動(dòng)設(shè)備很少是真的采用通過Google認(rèn)證的Android版本。

如果對(duì)中國(guó)的消費(fèi)者來說，Google服務(wù)又不能使用，為何還要擔(dān)心中國(guó)市場(chǎng)上的Android手機(jī)缺乏Google認(rèn)證？

Bluebox的業(yè)務(wù)就是盡可能保護(hù)移動(dòng)設(shè)備上的企業(yè)數(shù)據(jù)安全，Blaich 表示："我們需要密切注意最新的Android設(shè)備；"因?yàn)锽YOD趨勢(shì)在企業(yè)界越來越盛行，他強(qiáng)調(diào)："跨國(guó)公司的員工可以輕易使用這些手機(jī)，最后不小心把公司機(jī)密數(shù)據(jù)泄漏出去。"

在手機(jī)中加入獨(dú)家傳感器

"使用不安全的(BYOD)設(shè)備，是把你的個(gè)資以及公司的數(shù)據(jù)置于風(fēng)險(xiǎn)之中。"不過Blaich也同意PNI的Hsu所言，因?yàn)橹萌胄詜服務(wù)風(fēng)行："有一些成功的案例讓中國(guó)手機(jī)廠商發(fā)現(xiàn)，添加自己的硬件或是修改Android操作系統(tǒng)，以及利用那些傳感器數(shù)據(jù)來建立自己的支持與服務(wù)是有好處的。"

根據(jù)Hsu的觀察，有部分中國(guó)手機(jī)廠商藉由采用硬件解決方案讓手機(jī)具備特定功能，而越來越減少對(duì)Google的依賴，這種硬件方案就是傳感器中樞；他解釋，傳感器中樞被視為一個(gè)"客制化區(qū)塊"，能讓中國(guó)智能廠商打造具差異化的應(yīng)用程序與服務(wù)，培養(yǎng)自己的客戶群。

Hsu預(yù)期，接下來幾年智能市場(chǎng)的一大趨勢(shì)，將會(huì)是"具備環(huán)境感知功能的不關(guān)機(jī)手機(jī)"，而為了打造更具創(chuàng)意的應(yīng)用，廠商將在傳感器中樞領(lǐng)域發(fā)現(xiàn)一片"綠草地"。

• 手機(jī)加入名人屬性，瘋狂格力鬧哪樣？
• 指紋識(shí)別產(chǎn)業(yè)鏈日趨成熟，算法及應(yīng)用成關(guān)鍵