小米手机不为人知的秘密—后台静默安装任何应用

这篇具有很好参考价值的文章主要介绍了小米手机不为人知的秘密—后台静默安装任何应用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

导读 你是否拥有一台小米,HTC,三星或者是一加的 Android 手机呢?如果回答是肯定的,那么你应该意识到,几乎所有的智能手机厂商提供的定制 ROM,如 CyanogenMod、Paranoid Android、 MIUI 或者一些其它的 ROM 都带有预装主题和用来提高设备的性能的应用。

但是,对于这些设备制造商预装的程序和服务,你是否多有考虑呢?它们的目的是什么,它们是否会对个人的安全或者是隐私构成威胁。出于这些问题答案的好奇心,一位来自荷兰的计算机专业的学生,同时也是一位安全爱好者,他拥有一台小米 4 智能手机,正着手调查一个名为 “AnalyticsCore.apk” 的神秘预装程序。它 7 * 24 小时不间断的在后台运行,即使你删除它了还会重新出现!

小米是世界上最大的智能手机制造商之一,此前一直被批评为传播恶意软件,(它)发售预装了间谍软件/广告软件和 Android 操作系统的分支版本的手机,在没有经过用户同意的情况下,从设备中秘密窃取用户的数据。

小米手机不为人知的秘密—后台静默安装任何应用,linux

小米能够在你的设备上静默安装任何应用

在向该厂商的支持论坛询问 AnalyticsCore 的目的无果之后, Thijs Broenink 开始着手逆向此应用的代码,发现这个应用每隔 24 小时,都会从公司的服务器检查是否有该程序的更新。

在这些查询请求里,该应用将会发送设备的识别信息,包括手机的 IMEI、型号、MAC 地址、随机数、软件包名称及其签名。

如果在服务器上检测到名为 “Analytics.apk” 软件有更新的版本,它将会在后台自动的开始下载,然后安装,这一切都发生在用户不知情的情况下。

“我无法在 Analytics 中找到任何证据,所以我猜测应该有权限更高的小米应用在后台进行安装。”Broenink 在他的博客中如是说。

当前的问题是,你的设备如何验证此 APK 的正确性,以确保它真的是一个 “Analytics” 程序呢。

Broenink 发现,手机端根本没有进行任何的检查就将此程序安装到用户的手机中,这也就意味着黑客有利用此漏洞的可能。

这也就意味着小米能够远程静默的将任何程序在服务器端重命名为“Analytics.apk”后安装到用户的手机。

“所以看起来小米可以在 24 小时内把他们想要静默安装的任何(签名的?)程序包替换到你的手机上。我无法确定这个应用程序安装器什么时候被调用。但是我猜测,要是将自己的程序重命名为 Analytics.apk 后放置在正确的目录下,然后等着就会被安装了。”Broenink 说。

黑客也能利用此后门

小米手机不为人知的秘密—后台静默安装任何应用,linux

研究人员无论是在该公司网站还是 Google 找了许久都没有发现 AnalyticsCore 程序的实际目的。很难说小米为什么在数百万的设备上放置这个神秘的“后门”。

正如我以前说过的:没有一个后门是只有他的创造者才能访问的。

所以,黑客或者是情报机构,是不是可以利用小米的这一后门在 24 小时内将恶意软件推送到数百万的设备上呢?!

更加讽刺的是,整个过程采用 HTTP 连接,也就是说它很容易受到中间人攻击。

“这听起来是一个致命的漏洞,因为它们拥有我的 IMEI 和设备的型号,它们可以专门为我的设备安装任何 APK。”Broenink 说。

即使在小米论坛,也有很多的用户对此神秘的 APK 及其目的表示疑虑。

“根本不知道这货的目的,就算是删除了它,一段时间后,它又出现了。”一位网友说道。

另一个用户表示,“如果查看电池用量程序,你会发现这货总是在最上面,鬼知道它吃了我多少电量。”

如何阻止它秘密安装呢?

作为一个临时的解决方案,小米用户可以安装一个防火墙应用,然后在其中屏蔽所有小米相关域名的网络连接。

截至目前,在公司论坛上还没有小米团队的成员对 Broenink 提出的问题表示回应。我们将会持续关注此事件。

同时,如果你是小米的用户,如果在使用过程中有神秘奇怪的事情,在下方评论,以让我们知道。

来自小米的官方申明

一位小米的发言人联系到了最初发表本文的 The Hacker News,按 Thijs Broenink 的要求给出了一份官方声明,解释了关于该后门可以让黑客及小米自己在数以百万计的受影响设备上隐秘地安装任意应用的情况,声明说到:

“AnalyticsCore 是一个内置的 MIUI 系统部件,其用途是数据分析,以帮助改善用户体验,比如 MIUI 错误分析。”

虽然该公司并没有对在无需干预的情况下就能够在你的设备上自动地后台安装任何应用表示否认或发表评论,不过该发言人澄清说黑客不能够利用这个“自升级”功能。

“出于安全考虑,MIUI 会在安装或升级过程中检查 Analytics.apk 的签名,只有该 APK 来自官方并正确签名才会安装。”发言人补充道。

“任何没有官方签名的 APK 都不能安装。因为 AnalyticsCore 是确保更佳的用户体验的关键,它支持自升级功能。从发布于 4 月/ 5 月的 MIUI V7.3 开始,会启用 HTTPS 用于以后的安全数据传输,以防止任何中间人攻击。”

我们将会进一步接触小米了解其无需用户干预自动安装应用的能力。更多Linux资讯请查看:https://www.linuxprobe.com文章来源地址https://www.toymoban.com/news/detail-521009.html

到了这里,关于小米手机不为人知的秘密—后台静默安装任何应用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【机器学习】1、AI鲜为人知的秘密:机器学习与深度学习概论

    文章目录 🧠思维导图 📒前言         一、🔍人工智能、机器学习与深度学习         二、🔍机器学习 1、机器学习的实现原理 2、学习任务 3、确定模型         三、🔍深度学习 1、神经网络 2、深度学习当代发展         四、📚推荐书籍及课程 1、学习书籍

    2024年02月20日
    浏览(33)
  • 2023小米秋招真题-手机流畅运行的秘密

    这是一道小米面试题,使用 贪心的思想 。 8月份发布会一结束,米小兔就在公司领到了一台最新发布的XiaomiMX Fold3手机。这是一款小米舰折屏手机,并搭载了全新升级架构的MIU114系统。其先进的应用引擎不仅让系统更流畅,应用体验也大幅提升。在一个优化项中,为了尽可能

    2024年02月09日
    浏览(36)
  • 能把百度玩出花样的人肯定不简单,分享几个鲜为人知的搜索引擎高级语法

    「作者主页」: 士别三日wyx 「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「专栏简介」: 此文章已录入专栏《网络安全快速入门》 渗透过程中,通常会使用搜索引擎来收集重要信息、确定攻击点。 inurl 用来搜索url中包含指定

    2024年01月22日
    浏览(55)
  • 你的手机安全吗?鲜有人知的「手机黑客攻防」腾讯高工开源分享

    纵观当今的互联网,病毒木马泛滥、黑客攻击猖獗,各种病毒变体花样百出,恶意攻击手段层出不穷。而手机作为当今人们日常生活中不可或缺的工具,已然成为了黑客获取隐私信息牟利的最大阵地。如何防黑、反黑、制黑,已成为所有互联网用户共同面对的巨大挑战。 手机

    2024年02月16日
    浏览(35)
  • 手机的一些小秘密,你知道吗

    第一:智能识屏 依靠“智能识屏”功能,轻易就能将图片中的文字提取出来,此外还能根据识别到的“页面信息”,提供不同的建议与推荐,例如:我们在购物界面使用“识屏”,它便能自动获取优惠券链接、进行价格对比、告知历史最低价等信息。 【操作方法】:滑动屏

    2024年02月16日
    浏览(31)
  • 从电源 LED 读取智能手机的秘密?

    研究人员设计了一种新的攻击方法,通过记录读卡器或智能手机打开时的电源 LED,使用 iPhone 摄像头或商业监控系统恢复存储在智能卡和智能手机中的加密密钥。 众所周知,这是一种侧信道攻击。 通过密切监视功耗、声音、电磁辐射或执行操作所需的时间等特性,攻击者可

    2024年02月11日
    浏览(31)
  • 小米手机检测代码是多少,小米检测手机功能代码

    大家好,本文将围绕小米手机检测代码是多少展开说明,小米检测手机功能代码是一个很多人都想弄明白的事情,想搞清楚小米手机自己检测代码需要先了解以下几个事情。 使用小米手机的朋友们都知道,只需在拨号界面输入“*#*#64663#*#*”就能进行测试操作,但是红米和小米的

    2024年01月25日
    浏览(47)
  • 小米/红米手机数据恢复:从小米手机恢复已删除的数据

    如果您不小心删除了小米手机上的数据,后来发现您需要它,那么本文适合您。我将向您介绍一些最可靠的小米恢复方法,以将您的数据恢复到您的设备上。无论您是否有备份,都可以处理。让我们开始吧! 1.从小米云恢复已删除的数据 与大多数智能手机公司一样,小米也提

    2024年02月04日
    浏览(111)
  • 小米手机开发者选项在哪?小米手机怎么打开开发者选项

    小米手机开发者选项在哪?小米手机的开发者选项是什么?开发者选项是小米手机中的隐藏功能,为什么我们会问起这个呢?因为普通的设置我们都很容易就能找到,但开发者模式是需要用特殊的操作才能将其唤醒。下面就让我们看看怎么将这个隐藏设置给唤醒吧! 第1步:

    2024年02月10日
    浏览(42)
  • 小米路由青春版怎么用手机设置 手机设置小米路由器青春版图文教程

    前面我们已经详细介绍了如何通过笔记本设置小米路由器青春版,小米路由器青春版不仅可以使用电脑进行设置使用,同时也可以通过手机设置,如果家中没有笔记本的话,使用智能手机同样可以轻松完成路由器设置,而且比笔记本设置更为方便。话不多说,以下是手机设置

    2024年02月08日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包