小編也瘋狂:廣告不是借口�,酷派應(yīng)該反思���!
來源() 作者() 閱讀() 時(shí)間(2014/12/26 10:24:50)
酷派被國外安全研究公司Palo Alto Networks發(fā)現(xiàn)故意在其二十多款機(jī)型中安裝了一個(gè)名為“CoolReaper”的后門��,它可以在用戶未允許的情況下安裝未知應(yīng)用�����、可以任意發(fā)送短信或撥打電話����、清除用戶信息����、通過偽裝OTA軟件升級安裝其他應(yīng)用,并且會上傳設(shè)備信息至酷派服務(wù)器��。但隨后酷派官方回應(yīng)稱:“CoolReaper”程序?qū)崬榭崤蓱?yīng)用商店的支撐服務(wù)�����,用來為用戶推送新版軟件��、分析發(fā)現(xiàn)終端上的惡意軟件并向用戶預(yù)警�����、提示卸載,其目的是為了給用戶提供更好的安全體驗(yàn)����。不過由于管理疏忽,該軟件被不恰當(dāng)?shù)挠糜诮o用戶推送軟件升級通知和促銷廣告�。一個(gè)說是“后門”,一個(gè)說是“支撐服務(wù)”����,“CoolReaper”到底是什么?
“CoolReaper”到底是什么��?
關(guān)于“CoolReaper”的問題��,我特意找了一位安全領(lǐng)域的朋友了解了下相關(guān)情況�。據(jù)他分析“CoolReaper”應(yīng)該是DMP程序,這種程序一般都被手機(jī)廠商用在三個(gè)方面��,一是保護(hù)手機(jī)自帶系統(tǒng)軟件不被惡意軟件卸載���;二是為應(yīng)用商店提供軟件下載更新�;三是輔助OTA����。
注意�,看到這里可能大家都覺的“CoolReaper”是安全的����,沒有問題的�����,但事實(shí)并非如此����!如果依照Palo Alto Networks和烏云這樣的機(jī)構(gòu)通過代碼反編譯獲取部分代碼進(jìn)行行為猜測的話,“CoolReaper”是可以實(shí)現(xiàn)在用戶未允許的情況下安裝未知應(yīng)用��、可以任意發(fā)送短信或撥打電話����、清除用戶信息、通過偽裝OTA軟件升級安裝其他應(yīng)用�,并且會上傳設(shè)備信息至酷派服務(wù)器等一些列行為的。換句話說�,“CoolReaper”盡管是被開發(fā)出來用作系統(tǒng)正規(guī)服務(wù)的程序,但是確實(shí)存在安全隱患�����,可以被當(dāng)做“后門”來使用。
酷派利用“CoolReaper”都做了些什么�����?
“CoolReaper”在酷派手機(jī)系統(tǒng)支撐方面的服務(wù)肯定有���,但是我們在此就不做展開�,主要討論的還是它的爭議點(diǎn)���。從目前看到酷派用戶的反饋點(diǎn)來說���,主要有兩個(gè)方面:第一,推送廣告���������!癈oolReaper”其實(shí)就是“CP_DMP.apk”,在之前的安卓技術(shù)論壇�����,就有人不堪酷派的廣告騷擾憤而刪除此程序,但結(jié)果恰恰證明���,酷派確實(shí)是利用這個(gè)程序在推送各種促銷廣告����。第二��,偽裝OTA系統(tǒng)升級�����,安裝用戶不需要的程序�。這一點(diǎn)盡管酷派官方回應(yīng)說只是彈框提示升級官方軟件�,但確實(shí)給用戶造成了困擾。從這兩點(diǎn)上來說�����,酷派確實(shí)已經(jīng)犯了無法推卸的錯(cuò)誤��,不僅嚴(yán)重破壞了用戶體驗(yàn)����,而且還造成“CoolReaper”成為“后門”的重大嫌疑��!
除了以上兩點(diǎn)��,“CoolReaper”被Palo Alto Networks和烏云描述為還有其他“功能”���。清除用戶數(shù)據(jù),卸載現(xiàn)有應(yīng)用以及禁用系統(tǒng)應(yīng)用���,這個(gè)功能盡管目前很多管家甚至APP商店都具備此功能����,我個(gè)人覺的這項(xiàng)功能并沒有什么問題����,也沒有證據(jù)表明酷派使用過這項(xiàng)功能。向手機(jī)中發(fā)送或插入任意短信或彩信����;撥打任意手機(jī)號碼,這兩項(xiàng)功能很有意思����,盡管酷派解釋是為了分享和售后服務(wù)的便利,但我個(gè)人卻認(rèn)為���,這兩項(xiàng)功能應(yīng)該是為將來的推送“促銷廣告”做準(zhǔn)備的�,目前并沒有開啟。向酷派服務(wù)器上傳設(shè)備信息���,包括地理位置�、應(yīng)用使用�����、電話��、短信等歷史記錄�,目前只要是個(gè)APP幾乎都要讀取這些信息��,似乎已是司空見慣�,但作為罪名的一項(xiàng),卻是有點(diǎn)吹毛求疵了����,話又說回來,廠商手機(jī)這些信息也是沒有多大用處���,但尬尷的是“CoolReaper”確實(shí)具備這個(gè)功能�����。
廣告并不能成為危及公眾安全的借口
在酷派官方的回應(yīng)中�,把此次“CoolReaper”對用戶造成的安全危害,完全推到自己用來推送“促銷廣告”的疏忽上�,我認(rèn)為是極其的不負(fù)責(zé)任。盡管“CoolReaper”并非是為黑客活動而開發(fā)(否則就是違法了��。����,但是卻間接地對酷派用戶的安全造成了巨大威脅��!癈oolReaper”極其容易被惡意黑客利用����,對用戶隱私和財(cái)產(chǎn)安全造成不利影響。但在事件的背后�����,我也在思考��,在大規(guī)模推送廣告對用戶已經(jīng)構(gòu)成困擾的情況下,酷派官方難道沒有收到反饋����?為什么沒有采取行動,任由這種行為持續(xù)以致造成今天的惡果��?
在如今的傳統(tǒng)互聯(lián)網(wǎng)市場乃至移動互聯(lián)網(wǎng)市場��,彈窗廣告和應(yīng)用分發(fā)已是相對成熟的廣告盈利方式��,很多有大量用戶基數(shù)的產(chǎn)品都在投放這一類型廣告��。于是乎�����,在利潤的誘惑下�,很多廠商背離了用戶體驗(yàn)為王的根本,千方百計(jì)的追逐廣告效益的最大化���。像“CoolReaper”推送廣告的這種行為,無論你怎么root和卸載應(yīng)用程序����,都無法避免的要接受廣告的騷擾,頑固的近乎流氓。不可否認(rèn)的是����,如果沒有大量的廣告利潤的趨勢,也許不會有“CoolReaper”這樣的程序存在�,或許說及時(shí)存在,也許“神通”不會這么廣大�。但我想說的是,無論怎樣���,廣告并不能成為危及公眾安全的借口���,酷派應(yīng)該反思,自重�!
作者:佚名 來源:廣告買賣網(wǎng)
甘公網(wǎng)安備 62010002000030號