由假小米手機談到Android分化資安隱憂

關鍵字：Android系統ROM 小米MIUI 移動設備數據安全電子設計模塊

Android 設備陣營不斷朝多元化發(fā)展的情況在電子產業(yè)界已經是常態(tài)，不過在中國市場，Android操作系統出現不同"分支"的情形似乎也有越演越烈的趨勢。

一方面，這顯示了中國智能廠商的獨創(chuàng)性，他們積極以開放性的Android操作系統為基礎打造自己的"變種"版本；在另一方面，安全專家則對可能衍生的企業(yè)數據安全性表示憂慮──因為在跨國企業(yè)日益風行的員工自帶設備"BYOD (bring your own device)"趨勢。

美國傳感器解決方案供貨商PNI Sensor技術長George Hsu最近接受 EETimes 美國版編輯采訪時表示："中國智能廠商本來一直很擔心Google在智能操作系統上的主導性，不過現在好多了，因為Android陣營已經越來越分散。"

Hsu指出，今日的中國智能廠商膽子更大、也更有創(chuàng)意，會將手機產品打造為擁有獨特的風格；舉例來說，他們不會等待Google推出不關機應用程序如Google Now之類的特定功能，而是藉由自己添加硬件技術，像是傳感器中樞(sensor hub)，好在新型智能產品中整合獨特的環(huán)境感知功能。

從Android分裂生殖卻不能兼容的新版本

在此同時，中國市場出現一個明顯的趨勢，就是開發(fā)"從Android分裂生殖但是又與Android不兼容的"衍生版本；阿里巴巴集團(Alibaba Group)子公司阿里云開發(fā)的"Yun OS"就是一例。

據了解，阿里巴巴開發(fā)Yun OS是為了推廣該公司自家電子商務應用程序以及其他服務。不久前阿里巴巴還宣布對中國二線智能品牌魅族(Meizu)投資5.9億美元，部分中國市場觀察家形容阿里巴巴此舉是操作系統之戰(zhàn)，是該公司希望進一步在手機領域推廣Yun OS。

目前并不清楚有多少中國Android智能通過Google的兼容性測試套件(compatibility test suite，CTS)，且遵循Google的兼容性定義文件(compatibility definition document，CDD)；安全專家警告，不符合Google的CTS或CDD之設備會帶有已知的安全漏洞(這在通過Google認證的Android版本是可以避免的)。

一家總部位于美國舊金山的資安廠商Bluebox最近發(fā)表了一份報告，指出中國智能品牌小米(Xiaomi)的米4智能被預載了惡意軟件。

《國際電子商情》

根據Bluebox的原始報告，他們發(fā)現有小米出貨的米4配備了root過的ROM，而且被預載了被竄改的熱門效能評測(benchmarking)應用程序；該報告并尺出，小米自己的識別應用程序顯示那支手機是合法的小米官方產品。

不過在原始報告發(fā)表的兩天后，Bluebox坦承該份報告的主角是一支"仿造得維妙維肖"的假小米手機；于是這個故事演變成，原來是安全專家被以假亂真的仿冒品騙了，那篇報告當然也是錯誤的內容。

這起烏龍事件雖然讓Bluebox的聲譽受到影響，但也提供了電子產業(yè)一些有價值的觀點，讓大家開始關注現在市場上越來越多的中國品牌智能手機。

從Bluebox上當事件學到的教訓…

而Bluebox相信，他們的上當經驗凸顯了幾個問題；該公司首席安全分析師Andrew Blaich接受EETimes采訪時表示："首先，我們不能完全相信自己正在使用的設備。"就算是Bluebox 這樣的安全專家，也很難確認設備的軟硬件可信賴度。

"第二，我們現在知道，就算是合法的硬件設備，軟件也能很輕易地被調包；"Blaich指出："換句話說，無論設備是否為仿冒品，事實是消費者所購買的設備里面的ROM (無論是合法或仿冒硬件)，就會讓他們的個資面臨風險。"

小米對于自家以Android為基礎的操作系統MIUI非常自豪，該公司將之視為產品廣受歡迎的原因之一；不過Bluebox一開始就認為MIUI是"Android的分支(未取得官方認證)，而且不包含Google的服務"。

但后來Blaich坦承其錯誤，并表示在咨詢過小米的安全團隊之后，Bluebox了解到，小米是"走出了自己的路"來"遵循所有的Android最佳實踐"。

小米在針對Bluebox原始報告的響應中表示："MIUI是純粹的Android，這意味著MIUI確實遵循了Android CDD，也就是Google對兼容Android設備的定義；而且它通過了所有Android CTS測試，該程序是產業(yè)界所使用、確保既定設備是完全能與Android兼容。在中國市場與國際市場銷售的小米設備都是完全能與Android兼容的。"

如何確認設備的可信賴度？

如Bluebox所言，要如同資安廠商那樣進行測試來確認小米設備的可信賴度，所需花費的工夫超過了一般消費者愿意為確保購買的產品是正品所付出的。

而后來證實，在小米手機上裝載的MIUI ROM已經被修改過，能繞過Google的AntiFake辨別真?zhèn)螒贸绦?。Bluebox的實驗室發(fā)現："在SD卡上有一個隱藏的目錄(directory)，名為.apk，在這個隱藏目錄中有一些Android應用程序套件檔案(APK)，扮演類似CPU-Z應用程序的角色，以及某個版本的AntiFake應用程序。"

Blaich表示，如果使用者嘗試在手機上安裝的某個應用程序與那些套件檔案相對應，SD記憶卡上的該應用程序就會取代用戶打算下載的那個真的應用程序，這是手機的ROM用以繞過認證程序的一種方法。

手機中加入獨家傳感器避免風險

究竟中國品牌的智能有多少是采用Android操作系統的"分支"？對此Blaich表示Bluebox也沒有確切的數據，他強調他們所做的調查并沒有獲得Google的報酬，也不是要特別針對中國的智能執(zhí)行什么維持治安任務。

Blaich解釋，中國手機廠商的動機完全有可能只是為了建立自己的生態(tài)系統，開發(fā)一些讓自家手機品牌與云端服務、應用程序商店鏈接的置入性|服務。

大多數中國智能廠商只在中國市場銷售產品，發(fā)現沒有具說服力的理由讓它們一定要遵循Android CDD與CTS，因為Google的服務在中國市場是被禁止的；Bluebox認為，中國廠商開發(fā)的移動設備很少是真的采用通過Google認證的Android版本。

如果對中國的消費者來說，Google服務又不能使用，為何還要擔心中國市場上的Android手機缺乏Google認證？

Bluebox的業(yè)務就是盡可能保護移動設備上的企業(yè)數據安全，Blaich 表示："我們需要密切注意最新的Android設備；"因為BYOD趨勢在企業(yè)界越來越盛行，他強調："跨國公司的員工可以輕易使用這些手機，最后不小心把公司機密數據泄漏出去。"

在手機中加入獨家傳感器

"使用不安全的(BYOD)設備，是把你的個資以及公司的數據置于風險之中。"不過Blaich也同意PNI的Hsu所言，因為置入性|服務風行："有一些成功的案例讓中國手機廠商發(fā)現，添加自己的硬件或是修改Android操作系統，以及利用那些傳感器數據來建立自己的支持與服務是有好處的。"

根據Hsu的觀察，有部分中國手機廠商藉由采用硬件解決方案讓手機具備特定功能，而越來越減少對Google的依賴，這種硬件方案就是傳感器中樞；他解釋，傳感器中樞被視為一個"客制化區(qū)塊"，能讓中國智能廠商打造具差異化的應用程序與服務，培養(yǎng)自己的客戶群。

Hsu預期，接下來幾年智能市場的一大趨勢，將會是"具備環(huán)境感知功能的不關機手機"，而為了打造更具創(chuàng)意的應用，廠商將在傳感器中樞領域發(fā)現一片"綠草地"。

產品目錄: MULTICOMP PRO; Kyet 科雅薄膜電容器; 喬光電子（FTR）; 采樣電阻; KINGSTATE（志豐電子）; 君耀電子(Brightking); RUBYCON電容原裝現貨供應商; HAMAMATSU 濱松光電產品; 傳感器; 飛思卡爾開發(fā)工具 Freescale; 嵌入式解決方案; 自動化工業(yè)系統; 網絡攝像機; 行車記錄儀

動態(tài)信息

由假小米手機談到Android分化資安隱憂