發現6個可疑程式 小米再爆預裝惡意APP(圖)
小米日前被曝內置惡意軟體醜聞,並存在嚴重安全漏洞。(網路圖片)
【看中國2015年03月10日訊】(看中國記者陳秋穎綜合報導)作為國內流行度最高的手機品牌之一,小米日前被曝內置惡意軟體醜聞,並存在嚴重安全漏洞。
美國手機安全公司Bluebox稱,經過獨家測試,小米4LTE版中存在嚴重的安全問題。報告稱,小米內置了六款可疑應用,這些應用被標記為惡意軟體、間諜軟體以及廣告軟體。
其中一個名為「Yt Service」(Yt服務)的可以應用被識別為DarthPusher廣告軟體,預裝在所有小米4LTE智能手機中。該應用將自己偽裝成一個來自Google的App,不過開發包名為com.google.hfapservice,並非來自Google官方。
另一個聲稱是防毒軟體的PhoneGuardService應用,名字非常具有迷惑性,可實際上卻是一個木馬,可以讓黑客劫持電話。
此外,小米4LTE版使用非兼容的定制安卓ROM,亦存在多個系統錯誤。研究人員通過安全評估工具Trustable分析,發現該手機能被許多最近發現的安全漏洞攻擊,如Masterkey, FakeID和Towelroot (Linux futex)等。
Bluebox報告還稱,小米手機的外部存儲空間中有一個隱藏的目錄,目錄中包含幾個貌似是用來跑分的App;有些應用被重新簽名,使用與原來軟體廠商不同的key,這也就是說應用可能被篡改過。
對於Bluebox的報告,小米回應表示,公司正在調查事件,但認為Bluebox做測試的小米手機,並非標準的MIUI ROM,而是從非官方渠道購買,很可能經過了篡改。
Bluebox回應表示:「MIUI是原生的Android ROM,這是Google承認的產品,通過了所有CTS測試。」
過去一年裡,有關小米手機的醜聞不斷在媒體曝光。
去年8月,臺灣計算機保安公司F-Secure曾公布調查報告,指小米3及紅米1S兩款手機,只要插入SIM卡連接網路後,即使未啟用小米雲端程式,也會在不通知用戶的情況下,自動啟動「網路簡訊」功能,將用戶手機號碼、手機序號(IMEI)、國際行動用戶辨識碼(IMSI)等傳送至北京伺服器。
小米雖隨後便發布更新包,但根據《蘋果日報》委託網際網路協會網路保安及私隱小組召集人楊和生和資訊安全公司Nexusguard對香港版新的紅米1S手機進行的檢測顯示,安裝由小米公司提供的「更新包」後,紅米手機雖停止上傳資料到北京,卻改為每隔半小時將手機資料加密,並上傳到位於新加坡的一個租用的亞馬遜(Amazon)伺服器。