美安全公司指責(zé)小米4手機(jī)預(yù)裝惡意軟件

    北京時(shí)間3月9日午間消息，數(shù)據(jù)安全公司Bluebox通過測(cè)試發(fā)現(xiàn)，小米4手機(jī)中預(yù)裝了惡意軟件，還在這款手機(jī)中發(fā)現(xiàn)了很多其他問題。更令人擔(dān)憂的是，這款手機(jī)似乎已經(jīng)被尚未確認(rèn)的第三方篡改。

　　Bluebox曾經(jīng)就此問題聯(lián)系小米，但并未得到回復(fù)，該公司隨后在上周四發(fā)布了報(bào)告。當(dāng)Bluebox的研究人員收到這款手機(jī)時(shí)，確定那是一款使用小米賬戶的合法小米設(shè)備。經(jīng)過深入的測(cè)試后，研究人員發(fā)現(xiàn)這款智能手機(jī)中預(yù)裝了多款惡意應(yīng)用，包括一款偽裝成合法谷歌應(yīng)用的廣告軟件、一個(gè)可以讓黑客控制手機(jī)的木馬，還有其他一些高危軟件。

　　另外，Bluebox首席安全分析師安德魯·布萊齊(Andrew Blaich)還表示，在該公司進(jìn)行的所有漏洞掃描中，小米4該都存在問題。

　　布萊齊還表示，小米4的操作系統(tǒng)是未經(jīng)認(rèn)證的Android版本，因此可能存在很多瑕疵。他的團(tuán)隊(duì)發(fā)現(xiàn)的很多問題和漏洞都是較老的Android系統(tǒng)中存在的問題，最新版本已經(jīng)修復(fù)，因此，他們認(rèn)為小米4的操作系統(tǒng)融合了新的Android 4.4.4奇巧系統(tǒng)和舊版Android系統(tǒng)。API中的其他一些問題導(dǎo)致安全人員難以判斷該設(shè)備究竟是用于測(cè)試的設(shè)備，還是供用戶使用的產(chǎn)品。

　　該公司還懷疑，這款設(shè)備可能被第三方篡改，因?yàn)槟承��?yīng)用的簽名與小米的簽名密鑰并不相同。

　　上周五，Bluebox終于收到小米方面的回復(fù)，小米國際副總裁雨果·巴拉(Hugo Barra)在回復(fù)中說：“我們確定Bluebox測(cè)試的設(shè)備使用的并非標(biāo)準(zhǔn)版MIUI ROM，因?yàn)槲覀兊墓�廠ROM和OTA ROM從未root，也不會(huì)安裝YT Service、PhoneGuardService、AppStats等服務(wù)。Bluebox購買的這款測(cè)試用機(jī)可能被篡改了，因?yàn)樗麄兪峭ㄟ^中國的一家實(shí)體店購買的，而小米并不通過中國的第三方零售商銷售手機(jī)，只通過官方網(wǎng)站和部分運(yùn)營商銷售�！�

　　巴拉還表示，小米正在調(diào)查該公司為何花費(fèi)這么長時(shí)間才作出回應(yīng)。他建議用戶只購買Mi.com網(wǎng)站和部分認(rèn)證商店的小米設(shè)備。

　　不過，布萊齊似乎并不認(rèn)可這一回復(fù)。他寫道：“如果在零售渠道中這么容易篡改設(shè)備，那么即使通過Mi.com購買，也同樣也可以在運(yùn)輸過程中篡改�！彼�還引述了另外一篇來自《明鏡周刊》的新聞報(bào)道：美國情報(bào)部門可以在某些設(shè)備到達(dá)目的地之前在其中加載惡意軟件——這是一種更加現(xiàn)代化的竊聽方式。他認(rèn)為，如果小米智能手機(jī)已經(jīng)在零售層面被黑客入侵，便有可能引發(fā)更復(fù)雜的攻擊。

　　布萊齊在報(bào)告中指出，電子設(shè)備越受歡迎，遭到攻擊的頻率就越高。小米的MIUI平臺(tái)擁有1億用戶，而且計(jì)劃今年進(jìn)軍美國，因此該公司的用戶數(shù)量今后還將繼續(xù)增加。

　　小米隨后就此事向科技博客Venturebeat發(fā)布聲明稱：“Bluebox得到的那部小米4手機(jī)可能被第三方篡改，因?yàn)槟鞘峭ㄟ^非官方渠道購買的。由于中國的各個(gè)手機(jī)品牌都存在巨大的平行市場(chǎng)，所以第三方經(jīng)常通過這類渠道篡改任何品牌的手機(jī)。小米只通過Mi.com以及移動(dòng)運(yùn)營商等少數(shù)受信賴的合作伙伴銷售手機(jī)�！�

　　小米還補(bǔ)充說：“另外，與Bluebox的結(jié)論不同的是，MIUI使用的是真正的Android系統(tǒng)，意味著MIUI完全遵守Android的兼容性定義文件(CDD)，而且通過了所有的Android CTS測(cè)試，這是行業(yè)內(nèi)用于確保某款設(shè)備完全兼容Android的一項(xiàng)流程，適用于中國和國際市場(chǎng)。”(書聿)