Bluebox上周四发布了一个关于小米4手机存在数据安全问题的报告,指出小米手机存在三大安全风险:
1.小米手机禁用了谷歌官方应用商店Google Play Store
2.小米手机发布前没有通过Google认证测试。
3.小米4手机存在已知安全漏洞(指那些在Google认证版本中已经修复的漏洞)
研究者表示测试的小米4手机为“原封正品”,预装了小米的官方应用,但进一步的测试后,安全专家发现小米手机会预先加载数个恶意应用,包括伪装成Google验证应用的广告软件(Yt Service),一个可供黑客远程控制手机的木马软件PhoneGuardService,以及其他一些高风险的软件。
Bluebox的首席安全分析师Andrew Blaich在博客中指出小米4手机安全漏洞百出,“几乎市面上能见到的漏洞应有尽有。”
Blaich指出小米4手机的操作系统是为授权的Android版本,因此存在加个漏洞,其中一些漏洞只存在于旧版本的Android软件中,而不是当前“小米使用”的版本,因此Blaich认为小米4使用的操作系统版本是最新的KtKat4.4.4与之前的某个旧版本的杂交版本。
Blaich还怀疑检测的小米手机系统遭到篡改,因为很多应用并未使用小米公司的签名密钥。
Bluebox声称第一时间联系小米公司但并未得到及时回复,直到上周五,小米全球副总裁Hugo Barra才给Bluebox回信,内容大意是:
Bluebox测试的小米4手机并未使用标准的MIUI ROM,小米4出厂默认ROM和OTA ROM从未root,也没有预装YT Service、PhoneGuardService等恶意软件。Bluebox在中国从线下零售商买到的可能已经被刷机篡改。小米强调在中国小米手机唯一的销售渠道是小米官网和一些有选择的运营商营业网点。
Barra在信中指出消费者应当从Mi.com和授权网点购买小米手机,但一个不争的事实是:第三方渠道大量出货的小米4手机存在被预装恶意软件的情况,这表明小米手机的软件在零售环节已经被破解(篡改),或者说小米对其手机系统的安全性已经失去控制。
Blaich在报告中还指出,一个设备越流行就越容易被黑客攻击,小米的MIUI平台在中国已经拥有上亿用户,并准备今年登陆美国市场,这意味着小米的用户基数还将不断增长。
安全牛点评:2014年小米手机遭遇了一连串安全危机,从“小米手机台湾遭禁”开始,去年8月以来新加坡和印度等市场纷纷对小米手机侵犯用户隐私和数据安全的问题展开调查,小米公司的海外营销计划和品牌也遭受重挫,从一开始的“否认”、“解释”到“致歉”,拖延数月后,小米公司最终在2014年10月宣布最新的隐私保护措施:将国外用户数据转移至境外数据中心。Barra在Facebook账号发布的通告指出小米的数据大迁移将分三步走,包括2015年在巴西和印度建设小米数据中心等。
如果国内第三方渠道流通的大量小米手机被刷机预装恶意软件属实(笔者从第三方渠道买的小米3就预装了广告恶意软件),严重危及个人数据隐私和安全,那么小米公司也应当尽快出台有力措施,给中国的广大用户给出一个靠谱的说法。