酷派被國外安全研究公司Palo Alto Networks發現故意在其二十多款機型中安裝了一個名為“CoolReaper”的后門�����,它可以在用戶未允許的情況下安裝未知應用、可以任意發送短信或撥打電話�����、清除用戶信息�、通過偽裝OTA軟件升級安裝其他應用���,并且會上傳設備信息至酷派服務器�。但隨后酷派官方回應稱:“CoolReaper”程序實為酷派應用商店的支撐服務,用來為用戶推送新版軟件����、分析發現終端上的惡意軟件并向用戶預警�、提示卸載�,其目的是為了給用戶提供更好的安全體驗。不過由于管理疏忽��,該軟件被不恰當的用于給用戶推送軟件升級通知和促銷廣告��。一個說是“后門”�����,一個說是“支撐服務”,“CoolReaper”到底是什么?
“CoolReaper”到底是什么?
關于“CoolReaper”的問題�����,我特意找了一位安全領域的朋友了解了下相關情況。據他分析“CoolReaper”應該是DMP程序����,這種程序一般都被手機廠商用在三個方面����,一是保護手機自帶系統軟件不被惡意軟件卸載;二是為應用商店提供軟件下載更新;三是輔助OTA���。
注意��,看到這里可能大家都覺的“CoolReaper”是安全的,沒有問題的���,但事實并非如此!如果依照Palo Alto Networks和烏云這樣的機構通過代碼反編譯獲取部分代碼進行行為猜測的話,“CoolReaper”是可以實現在用戶未允許的情況下安裝未知應用�����、可以任意發送短信或撥打電話��、清除用戶信息����、通過偽裝OTA軟件升級安裝其他應用���,并且會上傳設備信息至酷派服務器等一些列行為的�。換句話說,“CoolReaper”盡管是被開發出來用作系統正規服務的程序�,但是確實存在安全隱患�����,可以被當做“后門”來使用。
酷派安全手機六宗罪
危害一: 在未經用戶同意或發出通知的情況下�����,下載�、安裝、激活任意Android應用��。
我的看法:DMP 具備軟件的下載���,安裝��,激活功能,這個是程序本身的能力,其具體過程為,如果應用商店的WI-FI下自動升級功能(通過開關控制開啟或關閉)開啟�����,檢測到新版本時����,會提醒用戶進行下載更新版本,用戶確認后��,會一鍵進行下載安裝�����,下載安裝完成后��,會提醒用戶選擇確定還是立即激活應用體驗。
為了提升用戶體驗,有些廠商的OS會支持靜默安裝功能����,減少用戶操作步驟��,但如果在未經用戶同意的情況下進行應用激活,這是不允許的,這個情況在我曾經測試過的酷派手機上沒有發現���,包括近期酷派S6、大神系列的多款手機上也沒有發現。
危害二:清除用戶數據,卸載現有應用以及禁用系統應用;
我的看法:首先“清除用戶數據”這個猜測是有偏差的,我就此專門咨詢了酷派的產品設計人員��,DMP設計此功能的首要目的是針對酷派自身應用軟件��,前期有用戶投訴酷派部分應用軟件存在長時間運行后數據損壞或異常�,無法正常使用�,即使OTA也無法解決,因此在設計DMP時添加了刪除指定應用數據的功能��,如果用戶出現應用數據損壞并主動申請強行處理時,能對該用戶的需求進行響應。至于DMP 管理服務程序具備卸載應用的功能��,在設計時主要考慮是國內手機從出廠到銷售�����,中間存在渠道刷機環節,有些渠道為了提升收入��,會在手機銷售之前刷機植入軟件����,導致手機存儲空間和內存空間被占用,用戶后續使用手機時出現卡頓,更嚴重的是OTA官方軟件版本會一直失敗��,因此需要提醒用戶卸載不必要���、一直不使用的應用程序����,這部分功能移植到酷管家中了,在DMP中實際沒有使用。第三個禁用系統應用功能����,手機廠家應用較多�,有些用戶希望自己下載第三方應用替換原廠應用�,而原廠應用一般是不可刪除和卸載的,只能禁用�,因此針對用戶的需求����,DMP提供了禁用系統應用功能�����,設計目的是針對酷派自帶的原廠應用���。
危害三:通知用戶進行偽造OTA升級��,實際安裝用戶不想要的應用
從市場的角度來說����,移動互聯網分發模式賺錢誰都清楚,但是只為了幾個軟件就OTA一下�����,這樣的處理手段顯得太初級了�����。該項功能實際上是彈框提示用戶升級酷派官方軟件�����。大家都知道,手機在出廠后�����,由于持續提升用戶體驗��,軟件版本經常需要更新���。傳統的做法�,是為了升級一款APP���,需要出整體的OTA ROM包進行升級���,一方面整機ROM出版本升級開發成本較高�,時間周期較長,而且用戶升級ROM需要重啟手機才能完成�����,用戶體驗不好���。所以酷派增加了一項新的功能����,對系統APP單獨進行升級,減少流量消耗����,簡化操作�,提高用戶體驗����。當有版本更新時,會彈框提示用戶進行下載升級�,目前這種做法在智能手機中普遍應用�����。
危害四:向手機中發送或插入任意短信或彩信
酷派的應用商店在產品規劃時有一項功能,當用戶發現好的應用����,希望分享給好友時���,能通過短信分享應用商店下載鏈接���,邀請好友下載使用����,故在DMP中有相關的短信處理代碼�。而我在最終應用商店的發布版本中���,并沒有找到這項功能�,該功能應該實際一直處于未啟用狀態。
危害五: 撥打任意手機號碼
酷派應用商店目前有30萬以上的APP,用戶在使用過程中可能存在兼容性問題,為了給用戶提供更方便快捷的反饋渠道�����,酷派在產品設計上增加了一項功能��,用戶在使用過程上如果有任何問題�����,可以調用酷派客服打電話,目的是為了提供給用戶溝通互動的渠道�。但是����,從前面華為榮耀的類似情況看�,這種情況很容易會讓扣費軟件找到機會,所以還酷派的這項功能顯得多此一舉���,提出批評。
危害六: 向酷派服務器上傳設備信息���,包括地理位置、應用使用����、電話��、短信等歷史記錄 這其實是目前手機行業的常規做法,通常用戶在新購機后第一次激活時,會有一個注冊過程�,將設備基本的IMEI SN等信息注冊回來�,用于渠道銷售管理���,類似于中國移動的DM�,這也是業界通用做法��,目的是為了更好的服務用戶��。另外,在使用軟件時����,會采集用戶安裝應用列表�,用于應用的更新及升級,只是用于應用更新計算���,并不會保存,這也是應用商店的通用做法���。
在如今的傳統互聯網市場乃至移動互聯網市場,彈窗廣告和應用分發已是相對成熟的廣告盈利方式��,很多有大量用戶基數的產品都在投放這一類型廣告�����。于是乎��,在利潤的誘惑下,很多廠商背離了用戶體驗為王的根本�����,千方百計的追逐廣告效益的最大化���。像“CoolReaper”推送廣告的這種行為�����,無論你怎么root和卸載應用程序���,都無法避免的要接受廣告的騷擾,頑固的近乎流氓�。不可否認的是���,如果沒有大量的廣告利潤的趨勢�����,也許不會有“CoolReaper”這樣的程序存在,或許說及時存在�����,也許“神通”不會這么廣大���。但我想說的是�����,無論怎樣�,廣告并不能成為危及公眾安全的借口����,酷派應該反思,自重!
