小米日前被曝内置恶意软件丑闻,并存在严重安全漏洞。(网络图片)
【看中国2015年03月10日讯】(看中国记者陈秋颖综合报导)作为国内流行度最高的手机品牌之一,小米日前被曝内置恶意软件丑闻,并存在严重安全漏洞。
美国手机安全公司Bluebox称,经过独家测试,小米4LTE版中存在严重的安全问题。报告称,小米内置了六款可疑应用,这些应用被标记为恶意软件、间谍软件以及广告软件。
其中一个名为“Yt Service”(Yt服务)的可以应用被识别为DarthPusher广告软件,预装在所有小米4LTE智能手机中。该应用将自己伪装成一个来自Google的App,不过开发包名为com.google.hfapservice,并非来自Google官方。
另一个声称是防毒软件的PhoneGuardService应用,名字非常具有迷惑性,可实际上却是一个木马,可以让黑客劫持电话。
此外,小米4LTE版使用非兼容的定制安卓ROM,亦存在多个系统错误。研究人员通过安全评估工具Trustable分析,发现该手机能被许多最近发现的安全漏洞攻击,如Masterkey, FakeID和Towelroot (Linux futex)等。
Bluebox报告还称,小米手机的外部存储空间中有一个隐藏的目录,目录中包含几个貌似是用来跑分的App;有些应用被重新签名,使用与原来软件厂商不同的key,这也就是说应用可能被篡改过。
对于Bluebox的报告,小米回应表示,公司正在调查事件,但认为Bluebox做测试的小米手机,并非标准的MIUI ROM,而是从非官方渠道购买,很可能经过了篡改。
Bluebox回应表示:“MIUI是原生的Android ROM,这是Google承认的产品,通过了所有CTS测试。”
过去一年里,有关小米手机的丑闻不断在媒体曝光。
去年8月,台湾计算机保安公司F-Secure曾公布调查报告,指小米3及红米1S两款手机,只要插入SIM卡连接网络后,即使未启用小米云端程式,也会在不通知用户的情况下,自动启动“网路简讯”功能,将用户手机号码、手机序号(IMEI)、国际行动用户辨识码(IMSI)等传送至北京服务器。
小米虽随后便发布更新包,但根据《苹果日报》委托互联网协会网络保安及私隐小组召集人杨和生和资讯安全公司Nexusguard对香港版新的红米1S手机进行的检测显示,安装由小米公司提供的“更新包”后,红米手机虽停止上传资料到北京,却改为每隔半小时将手机资料加密,并上传到位于新加坡的一个租用的亚马逊(Amazon)服务器。
