酷派手机木马事件的真相是什么？--百度百家
酷派手机木马事件的真相是什么？
分享到微信朋友圈
这个程序设计出来的的主要目的包括三个方面，一是作为OTA功能的辅助模块，对操作系统OTA过程中可能会遇到的异常情况进行预处理，提高OTA成功率；二对手机进行保护，防止第三方软件恶意卸载系统软件带来系统不稳定性，三是作为应用商店的服务程序给用户提供更及时和准确的应用软件下载更新功能
作者：CN314，又名中国派，关注手机十五年
前几天看到一篇文章，讲酷派的OS如何的不安全，如何的把用户当肉鸡来进行非法谋利，如何的窃取用户信息，简直把酷派说成是一个十恶不赦的大坏蛋。因为我自己用的就是酷派的“真硬件双隔离”铂顿安全手机，花了我四千多人民币，如果真像这位仁兄所说的如此的不安全，那我岂不是吃了大亏？不行，必须找酷派去退货。
但是，当我看完这篇文章之后，却对这些所谓的证据及结论产生了怀疑，难道真相确如这位仁兄所说吗？
事件来源：
这个事件最早确实是由安全漏洞汇报网站——乌云网爆出来的。这是一个很专业的网站，例如荣耀手机的电话功能可能被APP利用造成用户扣费的漏洞就是它们曝光的，这次曝光酷派的平台漏洞，内容和证据也是相当的详尽，我总结了一下大约有以下几个风险：
1、在未经用户同意或发出通知的情况下，下载、安装、激活任意Android应用；
2、清除用户数据，卸载现有应用以及禁用系统应用；
3、通知用户进行伪造OTA升级，实际上并不会更新设备，但会安装用户不想要的应用；
4、向手机中发送或插入任意短信或彩信；
5、拨打任意手机号码；
6、向酷派服务器上传设备信息，包括地理位置、应用使用、电话、短信等历史记录。
事实并非是你看到的这样
在这次事件中，乌云和Palo&Alto&Networks一直强调的&CoolReaper&这个程序，也叫CP_DMP&程序，是一个设备管理服务程序，全名为Device&Management&Platform。这个程序设计出来的的主要目的包括三个方面，一是作为OTA功能的辅助模块，对操作系统OTA过程中可能会遇到的异常情况进行预处理，提高OTA成功率；二对手机进行保护，防止第三方软件恶意卸载系统软件带来系统不稳定性，三是作为应用商店的服务程序给用户提供更及时和准确的应用软件下载更新功能，说到底，都是为了用户体验着想。
那么为什么会被Palo&Alto&Networks及更多的病毒机构认定为恶意行为了？我一个做手机安全的朋友和我说，像乌云和Palo&Alto&Networks这样的机构更多的是通过代码反编译的方式来获取部分代码进行猜测，用DMP所具备的可能能力看作最终结果行为，有点太武断，就像盲人摸象一样。
举个例子，中国每年因道路交通安全事故伤亡人数超过20万人，那你就认为汽车不安全必须禁止？可是汽车给人们生产生活带来的便利和效率你看到了吗？当然，这样的论点是有些偏颇，但不能说它错，因为汽车带来的交通事故确实有近二十万的伤亡，但是它是好还是坏，主要还要看用它的人。
所谓后门的真相
我不是技术大拿，但是乌云和Palo&Alto&Networks针对CoolReaper&这个程序提出了六个方面的危害，我有一些自己的看法：
后门行为一：&在未经用户同意或发出通知的情况下，下载、安装、激活任意Android应用。
我的看法是：如果开启应用商店的WI-FI环境下自动升级功能，当检测到有应用新版本时，会提醒用户进行下载更新版本，用户确认后，会一键进行下载安装，下载安装完成后，会提醒用户选择确定还是立即激活应用体验。
为了提升用户体验，有些厂商的OS会支持静默安装功能，减少用户操作步骤，但如果在未经用户同意的情况下进行应用激活，这是不允许的。这种做法也是主流应用商店的通用做法，不信你们去试试百度手机助手这些，包括其它手机厂商的相关应用商店服务应用，也许会抓出来很多所谓的后门木马程序出来，而实际上只是一个普通的升级程序，杀毒软件的误报也不是一次二次的稀罕事了。
后门行为二：清除用户数据，卸载现有应用以及禁用系统应用；
我的看法：首先“清除用户数据”这个猜测是错的，这个应用的起因是有用户投诉酷派部分应用软件存在长时间运行后数据损坏或异常，无法正常使用，即使OTA也无法解决的问题，因此在设计DMP时添加了删除指定应用数据的功能，如果用户出现应用数据损坏并主动申请强行处理时，能对该用户进行特别处理。
我曾经就此单独采访过酷派相关的人员。DMP设计此功能的主要目的是针对酷派自身应用软件，目前现在的很多管家类软件已具备此功能，而酷派这个功能只能说是具备，但是不是使用过，这是两个概念。
至于DMP&管理服务程序具备卸载应用的功能，在设计时主要考虑是国内手机从出厂到销售，中间存在渠道刷机环节，有些渠道为了提升收入，会在手机销售之前刷机植入软件，导致手机存储空间和内存空间被占用，用户后续使用手机时出现卡顿，更严重的是OTA官方软件版本会一直失败，因此需要提醒用户卸载不必要、一直不使用的应用程序，这部分功能移植到酷管家中了，在DMP中实际没有使用。第三个禁用系统应用功能，手机厂家应用较多，有些用户希望自己下载第三方应用替换原厂应用，而原厂应用一般是不可删除和卸载的，只能禁用，因此针对用户的需求，DMP提供了禁用系统应用功能，设计目的是针对酷派自带的原厂应用。
某文说要删除这些原厂应用，必须要ROOT。可是他不明白，如果安卓手机ROOT后就像是脱光了衣服，安全性更不要说了，讨论这些后门更没有意义，因为木马这些不用吹灰之力就能入侵你的系统，还用得着什么后门了。
直白的讲，这个应用的出发点就是即能让用户自主选择是否禁用原厂的一些运营商应用，也能保护用户的手机基本安全，怎么就成了木马了？
后门行为三：通知用户进行伪造OTA升级，实际上并不会更新设备，但会安装用户不想要的应用；
这完全就是一种猜想，我们知道手机在出厂后，由于持续提升用户体验，软件版本经常需要更新。传统的做法是为了升级一款APP，需要出一个整体的OTA&ROM包进行升级，一方面整机ROM出版本升级开发成本较高，时间周期较长，而且用户升级ROM需要重启手机才能完成，用户体验不好。所以酷派增加了一项新的功能，对系统APP单独进行升级，减少流量消耗，简化操作，提高用户体验。
当有版本更新时，会弹框提示用户进行下载升级，除了业务流程和OTA接近外，界面也完全不同，不存在任何伪装，也不存在安装用户不想要的应用。
某文指责酷派推送某些用户不需要的软件，由此来谋取暴利。这个说法，表面上来看是有依据的，因为靠软件激活及游戏分成收入是手机厂商目前新增的一个收入来源，因为硬件利润实在太低，也由此滋生了一个约百亿级的市场。但是，我们要分清楚一点，就是酷派推送的是什么，如果是恶意扣费软件，那这个就是不可饶恕的，但是如果是跟用户相关的软件，你就不能进行指责，一切以用户的需求为出发点的应用都是好服务，这是我的观点。至于说，游戏里有扣钱的，那这就是游戏开发公司的问题，也是整个安卓系统业态的问题，打在酷派一家身上，有点冤了！但是酷派必须加强管理，将一些山寨应用挡在门外，这才是最重要的。
后门行为四：向手机中发送或插入任意短信或彩信；
这个我特地问过酷派的开发人员，他们说酷派的应用商店在产品规划时有一项功能，当用户发现好的应用，希望分享给好友时，能通过短信分享应用商店下载链接，邀请好友下载使用，故在DMP中有相关的短信处理代码。而在最终应用商店的发布版本中，并没有找到完整的此功能实现。&
后门行为五：&拨打任意手机号码；
用户在使用过程中可能存在兼容性问题，为了给用户提供更方便快捷的反馈渠道，在产品设计上增加了一项功能，用户在用户过程上如何任何问题可能点击链接拉起拨号盘给酷派客服打电话，目的是为了提供给用户沟通互动的渠道。但是，从前面华为荣耀的情况看，这种情况很容易会让扣费软件找到机会，所以还是要请酷派提高安全等级，防范这样&的事件发生。
后门行为六：&向酷派服务器上传设备信息，包括地理位置、应用使用、电话、短信等历史记录。
我们了解到的情况是，通常用户在新购机后第一次激活时，会有一个注册过程，将设备基本的IMEI&SN等信息注册回来，用于渠道销售管理，类似于中国移动的DM，这也是业界通用做法，目的是为了更好的服务用户。
另外，在使用软件时，会采集用户安装应用列表，用于应用的更新及升级，只是用于应用更新计算，并不会保存，这也是应用商店的通用做法。对电话，短信等涉及用户个人隐私的数据记录，酷派也是严格遵守工信部规范，没有做任何相关采集动作。
OK，事情基于此就算完结了？酷派真是一清二白？没有任何的责任？不是，绝对不是！例如大家投诉较多的后台推送广告这事，酷派就太频繁了，虽然是移动互联网下的一种运营模式，但是给用户的体验不太好，这点希望酷派进行整改，在营收和用户体验上找出来一个平衡的点。
至于木马后门的说法，咱们还是凭事实说话吧，别显得太不专业了，还把360也拉进来。
整个事件又将炒红“真安全手机
这个事件八月份就曝光了，但是为什么十二月才发酵扩散，而且是在360宣布合资酷派推互联网手机之后？而且先是在国内乌云网曝出来，然后传到国外的Palo&Alto&Networks，闹得华尔街人人皆知，然后“数字公司”的股价？接下来，又出现一个所谓的APK推送后台（实则是酷派开发服务已经废除的一个平台，没有人维护，结果被黑客攻破），被国内的一帮某五百强圈养的写手跳出来歪曲利用，高声指责，绑架民意，误导用户……
对于国外Palo&Alto&Networks的结论，我觉得可以原谅，必竟他们不知道代码，也不明白中国国内的APK市场乱像及运营现实情况，所以把一些服务于用户，在他们看来又不是特别规范的行为视为恶意，这个是可以理解的。
我不明白的是，这些可以说清楚的事，为什么到了国内就上升到恶意木马后门的高度，是我们需要眼球还是我们的节操满地找？我不禁要问，是什么样的能量才能造成这么大的影响来打击对手，也或者是什么样的对手才能对酷派做安全手机感受到这么大的危机感，借用中国的一句古话：相煎何相急。
也许以上只是一种猜测，但这种猜测最好不要变成现实，不然就真的没有“节操”到底了！反过来，作为希望保障自身个人信息安全的用户，我们也在思考一个问题，就是乌云网曝出来的这种种的问题，难道只存在于酷派一家？华为没有？中兴没有？只要是安卓手机，这些问题或多或少都会有，这是安卓技术层面上的缺陷，而不能将板子打在一家身上，这样是不公平的。解决安卓系统的安全问题，是一个行业问题，需要所有的厂商来重视和支持。
真正的安全手机在哪里?基于安卓平台，共同一套存储介质，你不可能有一个真正安全的手机，无论是中兴还是华为，都只能是软件层面上的部分安全，说不定哪个木马就绕过来漏洞侵入系统，你问问这二家谁敢保证自己的绝对安全，哪个是银行级的加密水准？而酷派的铂顿，采用的是双系统硬件隔离，其中的安全系统是完全隔离，不能上网，但能打电话&发短信，隔绝了病毒的来源，你还怕什么资料外泄吗？这也许才是真正的安全手机，幸运的是，我在用它！
后记：发布此文之后，看了一下后面的评论，觉得还是有几点要请大家多思考再发言，特别是本文是就事论事，我最痛恨的就是某些文章通过一些夸大的事实来误导消费者，如果你们觉得这是软文，就算骂也要骂得有水准，我比较欣赏“仙草一剑”这位朋友的态度，就是要公正的看这个事，讲事实，摆道理。什么是木马，什么是后门，什么是肉鸡，大家可以去百度一下。特别是后门这个概念，不全部是坏的，所以大家也不要谈门就色变，就像菜刀一样，要看使用的人如何去用他，才是关键。特别是针对指出来的六个危害，和实际出入还是比较大的。
至于有网友一直强调，酷派官方微博自己都承认了后门，我觉得这又是一种误读。原文是：“CoolReaper”程序实为酷派应用商店的支撑服务，用来为用户推送新版软件、分析发现终端上的恶意软件并向用户预警、提示卸载，其目的是为了给用户提供更好的安全体验。不过由于管理疏忽，该软件被不恰当的用于给用户推送软件升级通知和促销广告。&
这个事实我也在文中有说明，这种行为用户体验不好，没有哪个用户喜欢这样，但是不是推送了空OTA包，这个要拿事实来说话！就像我前面有解释一样，有些是软件的升级，就像是所有应用商店在做的事一样，这个如果也算是木马，那所有的应用商店你们都别用了！
还是那句话，可能和事实是两码子事！可能，可以通过修补漏洞来亡羊补牢，事实上酷派也是这样做的；事实上，就问题大了，严重的还涉及犯罪，但是咱们不能乱说，要讲事实！
另外，关于这次事件的一些内幕，你们可以看一下最后一个小标题，这里面充满了阴谋的味道，没有证据我也不能乱说，但是请你们相信，无风不超浪，而且还是外国的浪，大家别被当枪使就好了！
阅读：30330
分享到微信朋友圈
在手机阅读、分享本文
还可以输入250个字
推荐文章RECOMMEND
热门文章HOT NEWS
著名笑星陈佩斯阔别荧屏这20年，他都经历了什么
百度新闻客户端
百度新闻客户端
百度新闻客户端
扫描二维码下载
订阅 "百家" 频道
观看更多百家精彩新闻2611人阅读
Android（38）
&&&&& 最近，成功在一些市场上的apk文件中植入自己的短信侦听的代码（还可以利用最简单的MainActivity来篡改启动程序。非恶意，反对通过此手段做一些不好的事情）比如：神庙逃亡2，fruit monkey等游戏（目测基本上所有游戏都可以植入）
&&&& 其实吧，在apk中植入自己的代码也不是很难，只需要网上一些普通的反编译工具比如：apktool，再加上自己的头脑，就可以了！！一个apk文件反编译成的samli格式的文件，很难对它做修改，因为基本上看不懂~~但是你可以在smali文件中添加自己的smali格式的文件啊~~~~当然，选择这些smali格式的文件也是有讲究的，选的文件不要去动原apk中的文件就行了，xml清单文件可以修改滴~~~~
&&& 好啦，点到为止，自己动手去试吧~·（注：请原谅没把具体方法给大家，只给出了思路，是为了不想让一些不怀好意的人去做非法的事情~~请原谅~）
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：162673次
积分：2780
积分：2780
排名：第10674名
原创：101篇
转载：73篇
评论：37条
(1)(1)(3)(2)(7)(9)(1)(4)(3)(1)(2)(1)(9)(13)(7)(17)(8)(5)(10)(13)(3)(7)(23)(26)附近人在搜什么
“史上最强Android木马”现身？360手机安全专家全面剖析
最近有媒体爆料，最高级的Android木马已经现身，据称“它能利用Android操作系统此前未知的漏洞提升程序权限，并能阻止被卸载。”该恶意程序被称为“Backdoor.AndroidOS.Obad.a”，其恶意行为是通过悄悄向增值服务号码发送短信获利。利用Android未曾发现漏洞并且无法卸载，“史上最强Android木马”有多神奇？就此，360手机安全专家为我们做了深度剖析，详解攻破
“最强木马”三层防查杀的整个过程。
第一层：封堵病毒分析主要入口 阻止安全工程师获取安全信息
首先，360手机安全专家发现，该木马为逃避杀毒软件查杀确实煞费苦心。它在代码中采取了一些专门针对病毒分析人员的措施，为安全公司分析它增加难度。例如，大多数安全公司分析Android木马样本时，通常采用AXML解析工具来解析样本的主配置文件——AndroidManifest.xml文件。该文件包含了Android应用的主要模块入口信息，是木马分析时的重要线索。Obad.a木马故意构造了一个非标准的AndroidManifest.xml文件，使得病毒分析人员无法得到完整数据。
第二层：对指令代码进行特殊处理 阻止反编译该木马除了对代码进行加密处理以外，还通过对指令代码进行特殊处理，使得安全公司常用的Java反编译工具无法正确地反编译其指令，增加对木马的分析难度：
&第三层：利用系统缺陷阻止用户卸载&该木马为防止被用户发现后卸载煞费苦心。Android系统从2.2版本开始，提供了一个“设备管理器”的功能，其初衷是为企业部署远程IT控制使用，为了防止员工私自卸载企业安装的“设备管理器”，一旦激活设备管理器之后，该设备管理器就不可删除。但是，由于Android系统对此功能设计的不完善，使得木马可以利用这个机制，让自己注册成为一个设备管理器，从而阻止用户卸载。
&木马首先会提示用户“激活设备管理器”：
&而一旦用户不慎点了“激活”，那么木马就被注册成了设备管理器，此时该木马的“强行停止”和“卸载”按钮将完全失效，即，木马无法关闭，也无法卸载：
&最可怕的是，设备管理器还存在一定缺陷，当木马故意以一种错误的方式来注册设备管理器时，Android系统也能让它注册成功，但是在设备管理器列表中不会显示。用户因此找不到取消注册设备管理器入口，无法取消木马的设备管理权限。
系统中甚至不会列出木马所注册的设备管理器
&Android未知漏洞去年已发现 &360手机卫士已可查杀相关木马
&如此精心布防给安全厂商带来不小的难度，据360手机安全专家介绍，360拥有强大的“动态沙箱分析系统”，当“Backdoor.AndroidOS.Obad.a”木马试图窃取用户隐私、发送短信吸费时，360的主动防御系统会进行拦截，提醒用户木马正在尝试获取本机号码等危险操作：
&而“Backdoor.AndroidOS.Obad.a”木马所利用的Android系统未知漏洞，360手机安全中心在2012年早已率先发现。据360手机安全专家介绍，去年在分析一款名为“LockMe”的应用时，发现其触发了Android的一个系统缺陷，导致无法正常卸载。
&“史上最强Android木马”虽然没有传说中那么危言耸听，但仍需小心警惕。360手机安全专家介绍，手机只需要安装最新版本的360手机卫士，就可以联网查杀该木马。不过还是建议用户
1.如果安装应用提示注册设备管理器时，应确认这是可靠的应用；
2.如果用户不慎激活了设备管理器，导致应用无法被卸载时，可以用360手机卫士“软件管家”的强力卸载功能将其彻底卸载。
3.启用360手机卫士的主动防御功能，可拦截未知木马。
4.及时升级360手机卫士最新病毒库，定期联网云查杀，以查杀最新的木马和病毒。}