美安全公司称小米预装恶意App！小米质疑

　　小米已经成为了国内流行度最高的手机品牌之一，内置了大量功能的MIUI是其一大卖点。然而，小米和MIUI近日惹上麻烦了，美国手机安全公司Bluebox称，小米在操作系统中预装了恶意App，并存在多处漏洞。对此，小米表示Bluebox的说法存疑，其报告中有明显错误。

小米惹上麻烦：被指预装恶意App

　　美国手机安全公司Bluebox称，小米4 LTE版在系统中预装了恶意App，并存在多项安全漏洞。Bluebox的研究人员Andrew Blaich表示，经过独家测试，小米4 LTE版中存在严重的安全问题，具体如下。

　　◆预装恶意App

　　研究人员使用了一些安全扫描工具，发现小米预装了恶意App。小米内置了六款可疑应用，这些应用宝贝标记为恶意软件、间谍软件以及广告软件。其中，一个名为“Yt Service”（Yt服务）的可疑App被识别为DarthPusher的广告软件，该软件会将自己伪装成一个直接来自Google的App，而一般的安卓用户都认为在安卓设备上有来自Google的预装应用很正常，但实际上这却是一个李鬼。Yt Service的包名叫com.google.hfapservice，但却并非来自Google官方。

小米系统中预装了Yt Service恶意应用

　　除了Yt Service外，小米还拥有其他可疑的预装App。比如说PhoneGuardService (com.egame.tonyCore.feicheng)被反病毒软件标记为木马，它可以让罪犯劫持手机，同时其名字很有迷惑性；SMSreg被标记为恶意App，AppStats（org.zxl.appstats）也被标记为存在风险的应用。总的来说，研究人员发现的6款可疑App的行为都和恶意软件、间谍软件和广告软件很相似。

　　◆使用非兼容的定制安卓ROM导致漏洞频出

　　目前市面上存在两种定制安卓ROM，分别是兼容的定制安卓ROM和非兼容的定制安卓ROM。兼容的根据安卓开源项目AOSP修改，遵从安卓兼容性定义稳定CCD，并通过了兼容性测试工具CTS，非兼容的定制安卓ROM则没有这些。小米4 LTE版使用的是非兼容的定制安卓ROM，这导致了漏洞频出。研究人员使用安全评估工具Trustable进行了分析，发现该手机能被许多最近发现的安全漏洞攻击，如Masterkey, FakeID和Towelroot (Linux futex)等，以及其他重大的安全漏洞。

　　◆其他可疑情况

　　研究人员还发现手机的外部存储空间中有一个隐藏的目录，目录中包含几个貌似是用来跑分的App。有些应用被重新签过名，使用了与原来软件厂商不同的key，这也就意味着应用可能被篡改过。

　　另外，研究人员还注意到他们的Bluebox安全扫描器出现在了小米市场中，但他们从未在小米市场发布过该应用。

　　小米官方回应

　　对于Bluebox的报告，小米提出了质疑。小米发言人在一封致“The Hacker News”的电子邮件回应了相关问题，具体如下。

　　我们现在正在调查事件。Bluebox的博文中有明显错误。官方的小米设备不会默认root，并且没有预装恶意软件。因此，我们肯定Bluebox所测试 的设备并非标准的MIUI ROM。很有可能Bluebox所获得的米4经过了篡改，因为手机是从非官方渠道购买的。我们的渠道只有Mi.com和某些合作伙伴诸如运营商。另外，与Bluebox博客中所述不同的是，MIUI是真的Android系统，遵循Android CDD(Android兼容性定义文档)，并且MIUI通过了所有的CTS测试，保证所有设备都符合CDD，无论是中国版还是国际版。

【推荐】用PConline官方客户端下载