小米手機藏后門可遠程安裝任意APP？真相如此驚悚嗎？

王小二跟鄰居張大牛買了一只鵝。

張家出品的鵝號稱一條龍服務，如果鵝生病一定會負責到底，要么治好，要么換鵝。不過，最近王小二發現，張大牛總在王小二不注意或者夜半無人私語時來王家院子偷偷撿鵝糞。

王小二納悶了，張家到底在干嗎？是不是看上了我家翠花？他怒了，在集市上質問張大牛，張大牛百口莫辯，只說撿鵝糞是為了看看鵝有沒有生病。

王小二將信將疑，他很生氣，那意思是以后時不時還有別家有別的借口來我家遛遛順點啥？

這個鄉村愛情故事可能和今天要說的事情有點關系。

你可能已經習慣了這個場景——新手機會預裝一些APP，怎么刪都刪不掉。但是，手機制造商將這些APP和服務安裝在你手機上是否會有特別的目的？這些預裝的應用又是否會威脅到機主的安全和隱私？  

荷蘭的一位小伙對此就頗有疑問。

他是小米4的用戶。小伙有一天發現，手機預裝了一個叫 AnalyticsCore.apk（com.miui.analytics）的應用，會自動在后臺運行。

小伙很生氣，他不喜歡未經許可收集用戶信息的應用，因此對它進行了逆向工程，發現該應用每24小時會訪問小米官方服務器檢查更新，在發送請求時它會同時發送設備的識別信息，包括手機的IMEI、型號、MAC地址、Nonce、包名字和簽名。如果服務器上有名叫Analytics.apk的更新應用，它會自動下載和安裝，整個過程無需用戶干預。

如果應用安裝時沒有任何驗證，該漏洞能被黑客利用，或者小米只需要將想要安裝的應用重命名為Analytics.apk就可以將其推送給用戶，而且該設備是通過HTTP發送請求和接收更新，這意味著用戶很容易遭到中間人攻擊。

看樣子，一個大新聞要搞出來了！

對此，小米的發言人表示，

AnalyticsCore是內建在MIUI系統中的組件，主要用來分析數據以增強用戶體驗，比如說MIUI Error Analytics——小米的系統錯誤分析功能。

為了安全起見，MIUI會在軟件的安裝和升級期間檢查Analytics.apk應用簽名，以確保載入的是擁有正確簽名的官方安卓軟件包。沒有官方簽名的安卓安裝包會被拒絕安裝，我們的軟件的自動升級功能都是為了更好的用戶體驗。

在今年四月到五月期間發布的最新版本MIUI v7.3中，HTTPS協議能夠有效地保障數據傳輸安全，避免中間人攻擊。

究竟是怎么回事？我們再來挖一下。

1.BUG在哪里？

HTTPS，是以安全為目標的HTTP通道，簡單而言，是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象標識符體系），用于安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。

小米的老版本用的是HTTP協議，確實埋了一個漏洞。某知名安全公司資深安全專家告訴雷鋒網宅客頻道（微信公眾號 ID：letshome），這是小米的一個預裝應用的升級機制沒有做好安全措施，24小時升級一次，期間可以被中間人劫持替換。

新版用了HTTPS協議后，就意味著“可能被劫持”這個問題被解決了嗎？

該專家表示，官方雖然說用了HTTPS升級就無法被中間人劫持了，但新版他也不確定，老版是HTTP，24小時升級1次，場景對一般小黑客而言，要攻擊還是比較有限制，不過技術好點的黑客可以用NTP欺騙手機時間的方式攻擊，提高升級概率來劫持。

一旦發生劫持，惡意軟件就拿了一把鑰匙可以隨意打開你家的門，在手機上安家落戶。

還有一個BUG是，上傳設備隱私信息是明文。

2.小米真的在竊取用戶隱私嗎？

這個問題在知乎也引起了討論，知乎用戶 Android Framework認為：

小米不能背鍋。

所謂的漏洞，其實是小米開發的一個功能，會有簽名檢查一類的機制來盡量保障大家的設備不被利用；所謂的信息收集，我覺得其實是對小米的不信任，同樣的事情 Google 在做，Apple 也在做。

以下是他的詳扒過程：（知乎用戶 Android Framework 如何評價 MIUI 的 AnalyticsCore 后門？）

看到 @vczh 輪子哥關注了這個問題，正好有相關背景，回答一記。

利益相關： 米黑(小米1,小米4用戶)。

先說結論：這個鍋不能讓小米背。

很多 Android 用戶很詬病的一點是國內 Android 手機都沒有 GMS 服務，并且稱其為“安卓”或者說是閹割版的 Android。

有人說谷歌移動服務(簡稱GMS，包括gtalk，gmail等)是Android的精髓，沒有GMS就不算真正的Android，這個說法不太對，連谷歌自己都不是這么認為的。谷歌開源的Android代碼不包含任何GMS應用；在谷歌內部，Android和GMS是兩個獨立的團隊，GMS經常先推出iPhone版然后才發布Android版的。

現在 Google 已經越來越收緊對 Android 的控制權限，AOSP 中 CPS(聯系人，電話，短信)應用已經萬年不更新，倒是這些模塊的 GMS 版本都更新的很勤快，這不，最近連騷擾攔截這種 MIUI 幾乎從最初版本就有的“高大上”的功能也上線了。打個岔，聽說最近的 iOS 10 也有這個功能了。

http://www.androidpolice.com/2016/07/25/googles-phone-app-now-shows-a-warning-about-spam-callers-and-makes-it-easy-to-block-and-report-them-apk-download/。
但是，有點實力的 OEM 其實都不太關心這個了，因為大家要做差異化，要做用戶體驗，這些模塊當然自己開發了。比如 CPS 好像是 MIUI 的重點，大家可以自行搜索 11 年的舊聞 “雷軍揭秘小米:用CPS重新發明手機”。

回到正題，
請問非小米的 Android 用戶，你們的手機中在 /system/app 中有沒有一個 PlayAutoInstallConfig.apk 的應用呢。（各位國產機和國行用戶就別找了，你們是肯定不會有的。因為，你們連 Google 服務都沒有啊！）

Nexus 用戶：
android.autoinstalls.config.google.nexus
android.autoinstalls.config.google.fugu
ASUS 用戶：
android.autoinstalls.config.asus.pai
HTC 用戶：
android.autoinstalls.config.htc.htc_pmeuhl-1
其他廠商的就不一一找出來列舉了。

AOSP中包管理的程序是：

PackageInstaller.apk pkgName=com.android.packageinstaller

而帶有 GMS 包中有 Google 的一堆應用，其中包含：

GooglePackageInstaller.apk pkgName=com.google.android.packageinstaller

注意到了沒有？這兩個用于管理（安裝，卸載等）程序的程序是 不一樣 的！

Google Play 靜默安裝


Google 在 Android L 之后引入了一個新的功能"PlayAutoInstalls"，簡稱 PAI。
相關功能介紹：
Android 5.0 Lollipop feature: Play Auto Installs bloatware removal
http://www.androidpolice.com/2014/10/28/android-5-0-lollipop-feature-spotlight-carriers-can-now-have-google-play-install-their-crapware-automatically-which-is-good-maybe/

官方開發者頁面戳這：
https://developers.google.com/android-partner/reference/rest/v1/playAutoInstalls
簡單來說，就家伙是在用戶第一次開機的時候，走開機引導流程，登錄 google 賬戶的過程中，在后臺默默的給你裝一些應用，一般來說會是運營商全家桶。本來嘛，這個功能就是為了 OEM 適應不同的地區，不同的運營商做的。

當然， Google 得知道你的一些信息才能給你裝上對應的全家桶，
不然難道給一個聯通的用戶裝一堆移動或者電信的全家桶？

既然它可以在第一次開機的過程中做這些事情，那你們猜猜，不是第一次開機的時候它能不能做這些呢？給你們一次機會，我相信你們是不會猜錯的。

它不止可以在后臺安裝程序哦，還可以修改你的桌面布局
https://android.googlesource.com/platform/packages/apps/Launcher3/+/android-5.0.2_r1/src/com/android/launcher3/AutoInstallsLayout.java

   static final String ACTION_LAUNCHER_CUSTOMIZATION =
           "android.autoinstalls.config.action.PLAY_AUTO_INSTALL";

如果非要說小米收集你的信息了，那請仔細閱讀一下小米手機的《用戶協議》。

綜上，
所謂的漏洞，其實是小米開發的一個功能，會有簽名檢查一類的機制來盡量保障大家的設備不被利用；所謂的信息收集，我覺得其實是對小米的不信任，同樣的事情 Google 在做，Apple 也在做。

不過話說回來，小米使用HTTP進行連接，有點說不過去。 

上述專家認為，這個就看官方怎么解釋這個APP的功能了，如果是手機性能測試收集或者crash分析程序的話，算是正常。他指出，別的系統也有類似功能，比如程序crash了要分析上傳崩潰日志。

3.怎么處理？

如何屏蔽這樣的秘密安裝呢？權宜之計是利用防火墻屏蔽掉所有通向小米相關域名的連接。

但這樣會有什么后果？該安全專家提醒——只屏蔽這個APP的升級地址沒問題，如果把升級地址的整個域名都屏蔽了，就會影響MIUI的其他升級。

他表示：

如果他們的最新版本和他們聲明一樣，可以不用擔心黑客劫持升級和明文傳輸設備隱私信息這些事了。但是之前的屏蔽還是有效的，你繼續屏蔽也升級不到他們聲明的最新版本，哈哈！

4.其他APP可以套路嗎？

你可能想多了。預裝APP常常有最高權限，用戶可能刪除不掉，而且靜默升級，你可能也意識不到需要提防。其他APP雖然也可以有類似的問題，但一旦發現，刪除起來容易多了！

最后，如果你想圍觀一把荷蘭兄弟的質疑帖，網址在這里：https://www.thijsbroenink.com/2016/09/xiaomis-analytics-app-reverse-engineered/

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。