这是一个创建于 2972 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://thehackernews.com/2016/09/xiaomi-android-backdoor.html
话说有人知道 AnalyticsCore.apk 这个 app 不😨😨😨
话说有人知道 AnalyticsCore.apk 这个 app 不😨😨😨
 |
1
XhstormR 2016-09-16 16:31:13 +08:00  2
什么?大清亡了?
|
 |
2
Tuibimba 2016-09-16 16:33:39 +08:00 1
小米手机没后门??
|
 |
3
garipan 2016-09-16 16:34:57 +08:00
这很常见吧……
一般的定制系统给自己留个这样的自动更新的系统权限还是非常常见的 静默更新在部分人看起来甚至还挺好用的,至少不麻烦 只是对于很多"Geek"来说,希望有知情权和控制权 |
 |
4
shimanooo 2016-09-16 16:39:45 +08:00 via iPad
小米手机没后门???
|
 |
5
ruojiner 2016-09-16 16:40:46 +08:00 via Android
哪个国产定制 UI 没后门.....
|
 |
6
7sDream 2016-09-16 16:40:54 +08:00 1
简单看了一眼文章,大概意思是说有个 App 会自动检查更新并后台安装,但是没验证升级包是否是真的升级包,有可能造成黑客利用。
肯定是个能利用的漏洞,但是是不是后门就…… 然而小米…… 算了我不评论,反正也不准备买。 |
 |
7
qiyuey 2016-09-16 16:43:45 +08:00 via Android
总想搞个大新闻
|
 |
9
popok 2016-09-16 16:50:46 +08:00
@7sDream 这种后台推送更新的接口,肯定是做了各种校验防护的,不是谁想利用就能利用的吧?
不然按理来说很多系统,比如 windows 这种还一样可以说有后门呢,比如当初盗版被替换黑色壁纸 |
|
10
7sDream 2016-09-16 16:55:43 +08:00
@popok
恩,肯定是应该做验证的,但是楼主给的那篇文章里: > Now the question is, Does your phone verify the correctness of the APK, and does it make sure that it is actually an Analytics app? > > Broenink found that there is no validation at all to check which APK is getting installed to user's phone, which means there is a way for hackers to exploit this loophole. no validation at all …… |
 |
11
FrankFang128 2016-09-16 16:56:59 +08:00
忽略点成感谢了……
|
|
13
7sDream 2016-09-16 17:02:04 +08:00
@yangff
恩,是的。 我的理解是,文章里说小米没有做任何验证,也就是说只要这个 APK 叫 Analytics.apk 就会下载下来走安装流程。所以有可能包名和真的 Analytics.apk 并不一样,就不会触发签名验证。也就是可以直接装个新应用进用户手机。 以上都是根据楼主文章内容的猜测…… |
 |
14
tracyone 2016-09-16 17:02:16 +08:00 via Android
不用分析了,你们没看过小米发布会?雷军连你点亮几次屏幕都统计出来了, diao 丝机就得忍受广告和后门。
|
 |
15
est 2016-09-16 17:20:22 +08:00
这也算 backdoor 。。。。阿里那几个码农的月饼真是白抢了。。
|
|
17
popok 2016-09-16 17:27:53 +08:00
@7sDream 我说的校验是指,肯定有措施确保这个接口是被小米的后台调用使用,而不是被其他黑客之类的利用。
如果确保这个是被小米调用,下发程序,自然就 OK 了,至于下发的程序是不是有害还是什么,这个得看小米出于什么目的,不需要校验吧 |
 |
18
impig33 2016-09-16 17:41:39 +08:00
哪个国产没后门?
|
|
19
7sDream 2016-09-16 17:46:10 +08:00
@popok
是这样的,黑客利用这个「漏洞」肯定不是在调用方做手脚,而是自己伪造成更新服务器。所以就算官方的更新服务器验证了请求来源,也没用呀,因为在黑客控制的网络下,手机根本就没有访问官方服务器。 引用文章里的: > Ironically, the device connects and receive updates over HTTP connection, exposing the whole process to Man-in-the-Middle attacks. 一个中间人攻击就能达到目的了。 更简单的方法,比如说你接入了一个不安全的 Wi-Fi ,黑客把 DNS 设置成自己的服务器,它对 xiaomi.com 的 IP 查询请求返回自己另一个服务器的 IP 。然后手机会被导向这个假的更新服务器,下载下来的更新包就被替换成了别的 APP 。 所以说手机端必须要有某种验证措施。 (吐槽:竟然连 HTTPS 都没上,利用难度又下降一层…… |
|
20
popok 2016-09-16 17:59:13 +08:00
@7sDream 我没有看原文,不过没用 https 吗?
话说这种前提应该也是 wifi 网络没被劫持,不然你再怎么弄也是白搭的,理论上,网络被劫持了,你的所有通信啥的都不可信了。就算支付宝也有可能被盗取(理论上完全可以啊) |
 |
21
Quaintjade 2016-09-16 18:04:37 +08:00 via Android
文章有点奇怪,前面说小米对安装包没任何验证,后面又好像不确定是否需要签名:
So it looks like Xiaomi can replace any (signed?) package they want silently on your device within 24 hours. HTTP 不是问题,但 HTTP 下载下来还没验证机制那就有问题。 另外,亮屏统计、推送安装、远程锁机, Google 全家桶也能做到。设置-安全-设备管理器,以及设置-安全-有使用权限的应用程序。 |
|
22
7sDream 2016-09-16 18:07:01 +08:00
@popok
原文里说走的 HTTP 来着…… 恩,如果不是连上钓鱼 Wi-Fi 的话其实还好……但是现在连上这种 Wi-Fi 对于不懂这些的人来说还是很有可能的,而且自动检查更新在后台,也没有简单的方法关闭,所以大概也算一个漏洞吧。 |
 |
23
Adven 2016-09-16 19:27:21 +08:00
后台装个插件啥的太常见了!
|
 |
24
murmur 2016-09-16 19:31:37 +08:00
这也算后门?小米魅族这些手机哪次大版本升级不给你带点料的
|
 |
25
g5 2016-09-16 19:38:25 +08:00 via Android
AnalyticsCore.apk
这个 app 华为和联想也有,这个不是什么大新闻 |
 |
26
testisitok 2016-09-16 19:50:43 +08:00 via Android
封闭的系统,将你一切 收集光 你也不知道
|
 |
27
kawaiiushio 2016-09-16 20:02:45 +08:00
國產手機一直在國內悶聲發大財
|
 |
28
rhen 2016-09-16 21:26:35 +08:00 via Android
这个是统计分析的程序吧,很正常啊,雷军还在发布会炫耀 MIUI 每 1 秒就有 x 次锁屏呢,没这个数据哪来的。 MIUI 我记得有地方关闭(不知道有没有用)。不过 MIUI 的隐私说明写的不错,像一个国际大厂写的。
|
 |
29
bestbug 2016-09-16 21:57:34 +08:00 via Android
它有后门,我们就走小米的后门😊😊😊
|
 |
30
lslqtz 2016-09-17 00:01:04 +08:00
路由器都有广告了没后门鬼信啊
|
 |
31
20015jjw 2016-09-17 01:07:01 +08:00 via Android
还是那句话 国产软件少用 国产硬件 路由手机就真的别用了 太可怕了
|
 |
32
Totato5749 2016-09-17 01:14:32 +08:00
YunOs Can Silently Uninstall Any App On Your Android Phone Using A Backdoor :)
|
 |
33
EricCartman 2016-09-17 01:42:02 +08:00
@Totato5749 阿里的系统你们也敢用(笑
|
 |
34
ByZHkc3 2016-09-17 03:08:32 +08:00
刷个 root 都要申请解锁的神奇手机
|
 |
35
qianmeng 2016-09-17 03:51:58 +08:00 via Android
难道没有后门?
小米的价值观决定了它会有后门。 阿里的价值观…… 上次丫自动更新删除我的电视盒应用,我就已经领教了。 |
 |
36
624 2016-09-17 07:29:56 +08:00 via Android
还好没买小米
|
 |
37
linux40 2016-09-17 07:54:08 +08:00 via Android
所以 RMS 不用手机。
|
 |
38
Hardrain 2016-09-17 09:08:11 +08:00
MIUI 难道没后门???
|
 |
40
salary123 2016-09-17 09:36:07 +08:00
国产手机都有后门...楼主天真..
|
 |
42
HypoChen 2016-09-17 09:38:17 +08:00
MIUI 难道不是后门???
|
 |
43
annielong 2016-09-17 09:43:09 +08:00
这还叫后门,人家根本不用,只要联网,自动就开始定时发送本机数据到小米的服务器了,随便装个 Fiddler 就能检测到
|
 |
44
dreamtrail 2016-09-17 09:48:58 +08:00
以国内对信息隐私的保护程度来说,厂商不装个后门都对不起自己,而且不搞这个大数据怎么玩?
|
|
45
testisitok 2016-09-17 09:57:23 +08:00 via Android
@salary123 国外手机就没后门?你太天真...
|
 |
47
soland 2016-09-17 10:12:20 +08:00
“狗咬人不是新闻"
|
 |
50
JustJiangYou 2016-09-17 12:01:36 +08:00
没有后门,怎么统计的用户信息,敏感资料。
|
 |
51
FFLY 2016-09-17 12:31:40 +08:00
@annielong 呵呵,要不要我来一篇 iPhone 上传数据到苹果服务器的文章?还 Fiddler ?最看不起你这种伪技术黑国产,有本事写个分析报告来。
1. 开始自动定时发送,请问这个时间间隔是多少? 2. 发送本机数据,请问发送了什么数据? 3. 数据是否加密?加密了的话请先解密,否则凭什么说人家上传的是你的隐私数据? 4. 有没有开云同步等服务,开了的话,开通的时候有没有认真看隐私协议,有没有点同意? 以上四条适用于所有的 Android 和 IOS 手机,不能把以上四条解释清楚的,都是伪分析和无脑黑。 |
 |
52
honeycomb 2016-09-17 12:43:09 +08:00 via Android
@FFLY 这部分人家(原始报告)已经分析出来了,所以请你做一份 iOS 的,对你来说应该不是难事
|
 |
53
2225377fjs 2016-09-17 12:45:23 +08:00 via Android
啥系统没有后门。。?
|
|
54
FFLY 2016-09-17 13:00:19 +08:00
@honeycomb
Xiaomi Can Silently Install Any App On Your Android Phone Using A Backdoor 请先把这句英文翻译下,然后告诉大家,这篇文章说的是小米上传隐私数据吗? 自己连原文都没点进去看吧?还是看不懂?这样还来无脑黑,见过撞枪口的,没见过你这样撞的,佩服! |
 |
55
yangff 2016-09-17 13:04:31 +08:00
@FFLY
"As a security measure, MIUI checks the signature of the Analytics.apk app during installation or upgrade to ensure that only the APK with the official and correct signature will be installed," the representative added. "Any APK without an official signature will fail to install. As AnalyticsCore is key to ensuring better user experience, it supports a self-upgrade feature. Starting from MIUI V7.3 released in April/May, HTTPS was enabled to further secure data transfer, to prevent any man-in-the-middle attacks." = = |
|
56
yangff 2016-09-17 13:06:25 +08:00
这不就是标题党搞事情嘛……
|
|
58
yangff 2016-09-17 13:44:41 +08:00 1
@FFLY 对…… 我的意思是,“ Xiaomi Can Silently Install Any App On Your Android Phone Using A Backdoor ”连这句话都是在瞎扯蛋…… 一来这根本不算什么 backdoor , google play 干得,小米就干不得了? 而要说安全问题,后面说的中间人攻击,有证书检验也根本不成立…… 除非哪里又冒出个针对新版本的 masterkey
|
 |
59
bramblex 2016-09-17 13:55:32 +08:00 via Android 1
我就想说…你用苹果的机子你们就没点过什么用户体验改进计划神马的?反正我的 macbook 有,嗯 macbook 肯定是小米出的
|
 |
60
nvidiaAMD980X 2016-09-18 01:46:56 +08:00 via Android 1
渣米这是第几次被他人抓到现行了?
不过也罢,用渣米的都是“真的勇士”,敢于直面惨淡的……………… |
|
61
20015jjw 2016-09-18 02:25:04 +08:00 via Android
@FFLY
我们不是黑国产 只是避险而已 这就跟 你妈跟你说晚上 3 点不要去小巷子里晃 不是说 3 点的时候一定比 12 点危险 43% 而只是说这东西风险大 有传言说 3 点出去人口容易被抢劫 一样 既然知道国产可能有问题 为啥还要用呢 又不是没有 Nexus 没有三星 没有索尼 没有 iPhone ? |
 |
62
omen 2016-09-18 09:41:47 +08:00
IOS 手机有后门??
安卓手机有后门?? 微软手机有后门?? 微软 PC 有后门?? |
 |
63
former 2016-09-18 10:35:07 +08:00
是个手机都有后门吧
|
|
64
FFLY 2016-09-18 11:54:51 +08:00
@20015jjw 你的论点是,国产有风险,但是事实是大家的风险都是一样的。比如 iPhone 在街上容易被小偷关注,三星电池用着用着容易爆炸。风险都是相对的,大家都有用户体验改善计划,都有云服务,都在回传数据。
|
 |
65
afpro 2016-09-18 12:26:05 +08:00
你们注册小米账户的时候看用户协议了么 是不是没看直接就点接受了 ……
|
 |
66
cairnechen 2016-09-18 13:09:54 +08:00
点亮屏幕这个都不能统计么,数据埋点后期用于产品改进决策这个不是很常见吗?
|
|
67
20015jjw 2016-09-18 15:03:33 +08:00
@FFLY iPhone 被偷可以再买 三星爆炸也是少数而且处理态度良好 你看看小米在印度着火那次 http://tech.firstpost.com/news-analysis/xiaomi-mi4i-explodes-while-charging-incident-caught-on-camera-327181.html 有任何处理了么? 体验计划归体验计划 但是国产隐私法律制度这么不健全 丑闻这么多 风险是不是更高?找你这个道理 走路都能被花盆砸呢 你就能用这个道理表示 飚车有风险 但是走路也有风险 所以都一样?
|
 |
68
wxhm1120 2016-09-18 15:06:55 +08:00
现在所有互联网厂商都在抓 用户的数据 出行诡计 购物习惯 饮食偏好 各种
|
|
69
FFLY 2016-09-18 16:30:44 +08:00
@20015jjw 凑洋媚外也请有个度好吗?三星爆炸都被禁止上飞机了,你来说少数?今天新闻刚出来,国行也爆炸了。还在这里说少数,处理态度良好?这个爆炸概率都多高了,如果还不召回,那只能说三星高管们的脑袋被驴踢了。
你所谓的避险,更像被害妄想症,而且还是有选择性的。 iPhone 被偷只需要再买一个,不用担心被偷以后的隐私丢失?三星爆炸是小概率的,不用担心哪天炸到自己?至于国产隐私保护不健全,就是管你到底有没有偷我的隐私,没偷也是偷了,因为我要避险,哪怕这个概念是极小的,我都觉得是 100%的? 真是好思路,甚为佩服,典型的国外的 * 都是香的。 |
|
70
20015jjw 2016-09-18 16:52:23 +08:00 via Android
@FFLY
note7 美国只是上飞机禁止开机而已 而且也就一个机型(貌似?) 小米这个范围之广 包括之前魅族把别人的手机内容同步到自己手机之中 360 自动收集 ss 帐号密码 这些事情还要我一一举例么? iPhone 屏幕加锁后全盘都是加密的 就算你把芯片焊下来都去不出数据 国内安卓会默认加密? Nexus 6 以后就默认会了 三星我不知道 但是就算手机丢了就等于数据被偷光 最起码不被偷是你可以尽量控制的 而不像小米这个 用了就要被收集隐私数据 更别提这种糟糕代码导致的漏洞了 被害妄想症是觉得有人想故意害你 确实小米等一票国产厂不拿用户隐私当隐私这件事是故意的 而且是害我的 但你跟我说三星这个电池也是故意的?这是根本价值观的问题 国内价格战打得这么厉害 不靠耍流氓就靠一台手机赚 50 他能活么 羊毛出在羊身上 动脑子想想啊... 实在不服 你给我列几个国外手机隐私出问题的事情 我来给你列几个国内的 比比数量? |
|
71
FFLY 2016-09-18 21:03:07 +08:00
@20015jjw 我们说的是小米,不是国内厂商,不要扩大范围。上面已经有 V 友说了,小米的隐私协议还是很专业的,至少是个国际大厂的样子。所以我们可以假设小米在隐私保护方面,有根据他的协议去履行,那么得出以下几点。
1. 小米在隐私协议允许的范围内收集的数据,和苹果三星等国际大厂的做法是一样的,不存在用了就被偷,也不存在不可控制。因为同意协议的按钮是用户自己点的,你也可以点拒绝,不去用。这和苹果三星的流程也是一样的,用户有拒绝的权力。 2. 你说糟糕代码导致的漏洞,那请你好好把这篇文章去读一篇,搞清楚人家写的是什么。整篇文章没有攻击方式的实践,只是在纯脑补,连作者自身都没有用肯定的语句,你倒是一口咬定了,真是奇怪。 3. 不靠流氓,一台赚 50 元,能不能活。这个本身就是伪命题,谁告诉你的一台只赚 50 元? iPhone 的高利润是众所周知的,你可以去查查 iPhone 的硬件成本,不到其售价的五分之一。 4. 这是根本价值观问题,请问是什么根本价值观?手机本身就不是奢侈品,难道拿着一台高价的 iPhone ,就体现你的价值观了?因为 iPhone 的售价高,所以就不会偷隐私了? 最后没有什么服不服的,就一句话,不服就来一篇完整的小米偷隐私的技术分析,没有就闭嘴。 |
|
72
20015jjw 2016-09-19 01:11:02 +08:00
@FFLY 对不起我说的就是国内的厂商,你都上升到崇洋媚外的高度,我还不能说国内的其他厂商了?小米的隐私以前出过问题,即便现在写好了没人看的协议,一样也是前面出过事情的,不值得被信任。
1. 对啊我这不就正在选择拒绝选择不用么...... 你这点让我怎么 argue... 2. 标题不是肯定的语句么... "Xiaomi Can Silently Install Any App On Your Android Phone Using A Backdoor" 难道这句还是否定的了...? 就连官方都说了 "Starting from MIUI V7.3 released in April/May, HTTPS was enabled to further secure data transfer, to prevent any man-in-the-middle attacks." 所以 7.3 之前的都是可以被攻击的? 文章说的是,小米可以选择直接安装一些软件到其设备而不用问用户要许可,然后文章认为这一行为已经是 backdoor ,但是又继续说,这个 backdoor 用 HTTP 而不验证签名,所以理论上来说黑客可以利用。我本来的意思就是说,小米往手机里偷偷装东西,偷偷上传用户数据,就已经是不尊重用户选择和隐私的行为了,跟别提还有黑客利用他自己后门的可能性。同样的自动更新,一直在自动更新旧版 Windows 到 Windows 10 还跳出一些通知呢,还不是在国外被告了赔钱? 3. 我的意思就是 iPhone 这种设备最起码人家不会想尽办法来用软件 /服务 /数据赚钱,因为设备本身就已经有相当的利润了。你这是在帮我 argue 吗?顺便我随手一搜, NY Times 报道(" it seems that Xiaomi made about $3 per phone on the roughly 18.7 million handsets it sold last year"), 2014 年里,小米平均一台设备才$3 ,远远不到 50 元,你是觉得 2015 年能到 50 元么?就算能到 200 元一台的利润,就高了? 4. 这是公司价值观的问题,国内这些厂一个个出事情,这说明大环境如此。我不是说 iPhone 的售价高就一定不会偷隐私,而是因为 iPhone 的售价高,所以厂家偷隐私的动机大大减小,因为已经能赚不少钱了。你看国内,安卓 App 多少人用正版?小米商店有付费软件么?软件不赚钱,设备不赚钱,那怎么赚钱?(顺便 iPhone 那句你在说什么?一台 iPhone 700 刀而已 为啥高价了...) 别不服了少年,我随手一搜, xiaomi privacy ,第一篇就是关于当年印度人发现的安全问题:开机后,小米发送了运营商名称, IMEI 和电话号码到 api.account.xiaomi.com ,接着发送了联系人的数量和短信的联系人。这是真实的测试,文中引用了 F-Secure 的测试,你可以自己看。这件事导致了 2014 年 8 月小米的公开声明,和一个 OTA 更新来*给用户选择不发送数据*的选项。所以万一有不懂的人加入了呢? 按照你这个一定要完整的技术分析的逻辑,你朋友跟你说这家餐馆难吃,网上搜这家餐馆跳出来难吃的新闻,你明明可以选择好吃的餐馆,但是你就是要“完整的好吃程度分析”,才会选择不吃?当然如果你说小米便宜三星贵那我也没办法了,多赚钱吧... NY Times : http://mobile.nytimes.com/blogs/bits/2014/12/15/xiaomi-releases-financial-data-showing-its-growing-strength/?_r=0&referrer= 印度人的安全问题报道: http://www.deccanchronicle.com/141023/technology-mobiles-and-tabs/article/xiaomi-really-spying-indian-user%E2%80%99s-privacy |
|
73
FFLY 2016-09-19 09:04:34 +08:00
@20015jjw 我就说两点吧
1. 小米还真的有收费的应用,而且不止应用,游戏,皮肤,铃声等多了去了。单就这方面来说,小米和国内其他厂商还真不一样,至少我身边就有人在小米的平台上赚过钱。 2. it seems that 的意思你应该懂吧?这样的句子来做论据,不妥吧?另外印度人的那篇, iPhone 你开了云同步一样是要上传这些数据的,把云同步认为是偷隐私,我觉得写这个文章的人,不适合活在这个互联网的时代。 |
|
74
20015jjw 2016-09-19 09:45:36 +08:00
@FFLY
呵,收费? http://app.mi.com/details?id=com.ustwo.monumentvalleyzz&ref=search http://app.mi.com/details?id=com.squareenixmontreal.hitmansniperandroid.kyx&ref=search 不搜不知道 随手找两个付费应用出门就是盗版?点一下直接下载 APK 就下来了?顿时没心情讨论了。 就这种应用都靠偷的公司你也信他能不对你的隐私做手脚?这就是我说的价值观问题,这公司真的 low 。 你要是觉得这个价值观没问题,我服,你大概也不适合活在法治社会... |
 |
76
hongfeiyu 2016-09-20 15:56:32 +08:00
为什么我有一种进了知乎的感觉
|
|
77
20015jjw 2016-09-20 15:58:41 +08:00
@head I just thought he's so bad at this that poking holes in his arguments was more fun than winning this. No wonder the poor thing can only work for a not even decent company and afford a usable phone :)
|
 |
78
skylancer 2016-09-22 11:01:50 +08:00
我顺便说一句,有人已经逆向完了 AnalyticsCore
就这样,剩下我不说了 |
 |
80
percentsfg 2016-10-13 08:36:29 +08:00 via iPhone
adui 还要隐私?
|
Select Language