《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 嵌入式技術(shù) > 業(yè)界動(dòng)態(tài) > Android“分支”帶來(lái)資安隱憂(yōu)?

Android“分支”帶來(lái)資安隱憂(yōu),?

2015-03-19
關(guān)鍵詞: Android PNI Sensor Bluebox Blaich

       Android 裝置陣營(yíng)不斷朝多元化發(fā)展的情況在電子產(chǎn)業(yè)界已經(jīng)是常態(tài),不過(guò)在中國(guó)市場(chǎng),,Android作業(yè)系統(tǒng)出現(xiàn)不同“分支”的情形似乎也有越演越烈的趨勢(shì)。

  一方面,這顯示了中國(guó)智慧型手機(jī)業(yè)者的獨(dú)創(chuàng)性,,他們積極以開(kāi)放性的Android作業(yè)系統(tǒng)為基礎(chǔ)打造自己的“變種”版本;在另一方面,,安全專(zhuān)家則對(duì)可能衍生的企業(yè)資料安全性表示憂(yōu)慮──因?yàn)樵诳鐕?guó)企業(yè)日益風(fēng)行的員工自帶裝置“BYOD (bring your own device)”趨勢(shì)。

  美國(guó)感測(cè)器解決方案供應(yīng)商PNI Sensor技術(shù)長(zhǎng)George Hsu最近接受 EETimes 美國(guó)版編輯采訪(fǎng)時(shí)表示:“中國(guó)智慧型手機(jī)業(yè)者本來(lái)一直很擔(dān)心Google在智慧型手機(jī)作業(yè)系統(tǒng)上的主導(dǎo)性,,不過(guò)現(xiàn)在好多了,,因?yàn)锳ndroid陣營(yíng)已經(jīng)越來(lái)越分散?!?/p>

  Hsu指出,,今日的中國(guó)智慧型手機(jī)業(yè)者膽子更大、也更有創(chuàng)意,,會(huì)將手機(jī)產(chǎn)品打造為擁有獨(dú)特的風(fēng)格;舉例來(lái)說(shuō),,他們不會(huì)等待Google推出不關(guān)機(jī)應(yīng)用程式如Google Now之類(lèi)的特定功能,而是藉由自己添加硬體技術(shù),,像是感測(cè)器中樞(sensor hub),,好在新型智慧型手機(jī)產(chǎn)品中整合獨(dú)特的環(huán)境感知功能。

  從Android分裂生殖卻不能相容的新版本

  在此同時(shí),,中國(guó)市場(chǎng)出現(xiàn)一個(gè)明顯的趨勢(shì),,就是開(kāi)發(fā)“從Android分裂生殖但是又與Android不相容的”衍生版本;阿里巴巴集團(tuán)(Alibaba Group)子公司阿里云開(kāi)發(fā)的“Yun OS”就是一例。

  據(jù)了解,,阿里巴巴開(kāi)發(fā)Yun OS是為了推廣該公司自家電子商務(wù)應(yīng)用程式以及其他服務(wù),。不久前阿里巴巴還宣布對(duì)中國(guó)二線(xiàn)智慧型手機(jī)品牌魅族(Meizu)投資5.9億美元,部分中國(guó)市 場(chǎng)觀(guān)察家形容阿里巴巴此舉是作業(yè)系統(tǒng)之戰(zhàn),,是該公司希望進(jìn)一步在手機(jī)領(lǐng)域推廣Yun OS,。

  目前并不清楚有多少中國(guó)Android智慧型手機(jī)通過(guò)Google的相容性測(cè)試套件(compatibility test suite,CTS),,且遵循Google的相容性定義文件(compatibility definition document,,CDD);安全專(zhuān)家警告,不符合Google的CTS或CDD之裝置會(huì)帶有已知的安全性漏洞(這在通過(guò)Google認(rèn)證的 Android版本是可以避免的),。

  一家總部位于美國(guó)舊金山的資安業(yè)者Bluebox最近發(fā)表了一份報(bào)告,,指出中國(guó)智慧型手機(jī)品牌小米(Xiaomi)的米4智慧型手機(jī)被預(yù)載了惡意軟體。

  根據(jù)Bluebox的原始報(bào)告,,他們發(fā)現(xiàn)有小米出貨的米4配備了root過(guò)的ROM,而且被預(yù)載了被竄改的熱門(mén)效能評(píng)測(cè)(benchmarking)應(yīng)用程式;該報(bào)告并尺出,,小米自己的識(shí)別應(yīng)用程式顯示那支手機(jī)是合法的小米官方產(chǎn)品,。

  不過(guò)在原始報(bào)告發(fā)表的兩天后,Bluebox坦承該份報(bào)告的主角是一支“仿造得維妙維肖”的假小米手機(jī);于是這個(gè)故事演變成,,原來(lái)是安全專(zhuān)家被以假亂真的仿冒品騙了,,那篇報(bào)告當(dāng)然也是錯(cuò)誤的內(nèi)容。

  這起烏龍事件雖然讓Bluebox的聲譽(yù)受到影響,但也提供了電子產(chǎn)業(yè)一些有價(jià)值的觀(guān)點(diǎn),,讓大家開(kāi)始關(guān)注現(xiàn)在市場(chǎng)上越來(lái)越多的中國(guó)品牌智慧型手機(jī),。

  從Bluebox上當(dāng)事件學(xué)到的教訓(xùn)…

  而B(niǎo)luebox相信,他們的上當(dāng)經(jīng)驗(yàn)凸顯了幾個(gè)問(wèn)題;該公司首席安全分析師Andrew Blaich接受EETimes采訪(fǎng)時(shí)表示:“首先,,我們不能完全相信自己正在使用的裝置,。”就算是Bluebox 這樣的安全專(zhuān)家,,也很難確認(rèn)裝置的軟硬體可信賴(lài)度,。

  “第二,我們現(xiàn)在知道,,就算是合法的硬體裝置,,軟體也能很輕易地被調(diào)包;”Blaich指出:“換句話(huà)說(shuō),無(wú)論裝置是否為仿冒品,,事實(shí)是消費(fèi)者所購(gòu)買(mǎi)的裝置里面的ROM (無(wú)論是合法或仿冒硬體),,就會(huì)讓他們的個(gè)資面臨風(fēng)險(xiǎn)?!?/p>

  小米對(duì)于自家以Android為基礎(chǔ)的作業(yè)系統(tǒng)MIUI非常自豪,,該公司將之視為產(chǎn)品廣受歡迎的原因之一;不過(guò)Bluebox一開(kāi)始就認(rèn)為MIUI是“Android的分支(未取得官方認(rèn)證),而且不包含Google的服務(wù)”,。

  但后來(lái)Blaich坦承其錯(cuò)誤,,并表示在諮詢(xún)過(guò)小米的安全團(tuán)隊(duì)之后,Bluebox了解到,,小米是“走出了自己的路”來(lái)“遵循所有的Android最佳實(shí)踐”,。

  小米在針對(duì)Bluebox原始報(bào)告的回應(yīng)中表示:“MIUI是純粹的Android,這意味著MIUI確實(shí)遵循了Android CDD,,也就是Google對(duì)相容Android裝置的定義;而且它通過(guò)了所有Android CTS測(cè)試,,該程序是產(chǎn)業(yè)界所使用、確保既定裝置是完全能與Android相容,。在中國(guó)市場(chǎng)與國(guó)際市場(chǎng)銷(xiāo)售的小米裝置都是完全能與Android相容 的,。”

  如何確認(rèn)裝置的可信賴(lài)度?

  如Bluebox所言,,要如同資安業(yè)者那樣進(jìn)行測(cè)試來(lái)確認(rèn)小米裝置的可信賴(lài)度,,所需花費(fèi)的工夫超過(guò)了一般消費(fèi)者愿意為確保購(gòu)買(mǎi)的產(chǎn)品是正品所付出的。

  而后來(lái)證實(shí),,在小米手機(jī)上裝載的MIUI ROM已經(jīng)被修改過(guò),,能繞過(guò)Google的AntiFake辨別真?zhèn)螒?yīng)用程式。Bluebox的實(shí)驗(yàn)室發(fā)現(xiàn):“在SD卡上有一個(gè)隱藏的目錄 (directory),,名為.apk,,在這個(gè)隱藏目錄中有一些Android應(yīng)用程式套件檔案(APK),,扮演類(lèi)似CPU-Z應(yīng)用程式的角色,以及某個(gè) 版本的AntiFake應(yīng)用程式,?!?/p>

  Blaich表示,如果使用者嘗試在手機(jī)上安裝的某個(gè)應(yīng)用程式與那些套件檔案相對(duì)應(yīng),,SD記憶卡上的該應(yīng)用程式就會(huì)取代使用者打算下載的那個(gè)真的應(yīng)用程式,,這是手機(jī)的ROM用以繞過(guò)認(rèn)證程序的一種方法。

  不通過(guò)Google認(rèn)證的Android裝置有什么風(fēng)險(xiǎn)?

  究竟中國(guó)品牌的智慧型手機(jī)有多少是采用Android作業(yè)系統(tǒng)的“分支”?對(duì)此Blaich表示Bluebox也沒(méi)有確切的數(shù)據(jù),,他強(qiáng)調(diào)他們所做的調(diào)查并沒(méi)有獲得Google的報(bào)酬,,也不是要特別針對(duì)中國(guó)的智慧型手機(jī)執(zhí)行什么維持治安任務(wù)。

  Blaich解釋?zhuān)袊?guó)手機(jī)業(yè)者的動(dòng)機(jī)完全有可能只是為了建立自己的生態(tài)系統(tǒng),,開(kāi)發(fā)一些讓自家手機(jī)品牌與云端服務(wù),、應(yīng)用程式商店連結(jié)的置入性服務(wù)。

  大多數(shù)中國(guó)智慧型手機(jī)業(yè)者只在中國(guó)市場(chǎng)銷(xiāo)售產(chǎn)品,,發(fā)現(xiàn)沒(méi)有具說(shuō)服力的理由讓它們一定要遵循Android CDD與CTS,,因?yàn)镚oogle的服務(wù)在中國(guó)市場(chǎng)是被禁止的;Bluebox認(rèn)為,中國(guó)廠(chǎng)商開(kāi)發(fā)的行動(dòng)裝置很少是真的采用通過(guò)Google認(rèn)證的 Android版本,。

  如果對(duì)中國(guó)的消費(fèi)者來(lái)說(shuō),,Google服務(wù)又不能使用,為何還要擔(dān)心中國(guó)市場(chǎng)上的Android手機(jī)缺乏Google認(rèn)證?

  Bluebox的業(yè)務(wù)就是盡可能保護(hù)行動(dòng)裝置上的企業(yè)資料安全,,Blaich 表示:“我們需要密切注意最新的Android裝置;”因?yàn)锽YOD趨勢(shì)在企業(yè)界越來(lái)越盛行,,他強(qiáng)調(diào):“跨國(guó)公司的員工可以輕易使用這些手機(jī),最后不小心把公司機(jī)密資料泄漏出去,?!?/p>

  在手機(jī)中加入獨(dú)家感測(cè)器

  “使用不安全的(BYOD)裝置,是把你的個(gè)資以及公司的資料置于風(fēng)險(xiǎn)之中,?!辈贿^(guò)Blaich也同意PNI的Hsu所言,因?yàn)橹萌胄苑?wù)風(fēng) 行:“有一些成功的案例讓中國(guó)手機(jī)業(yè)者發(fā)現(xiàn),,添加自己的硬體或是修改Android作業(yè)系統(tǒng),,以及利用那些感測(cè)器資料來(lái)建立自己的支援與服務(wù)是有好處 的?!?/p>

  根據(jù)Hsu的觀(guān)察,,有部分中國(guó)手機(jī)業(yè)者藉由采用硬體解決方案讓手機(jī)具備特定功能,而越來(lái)越減少對(duì)Google的依賴(lài),,這種硬體方案就是感測(cè)器中樞;他解釋?zhuān)袦y(cè)器中樞被視為一個(gè)“客制化區(qū)塊”,,能讓中國(guó)智慧型手機(jī)業(yè)者打造具差異化的應(yīng)用程式與服務(wù),培養(yǎng)自己的客戶(hù)群,。

  Hsu預(yù)期,,接下來(lái)幾年智慧型手機(jī)市場(chǎng)的一大趨勢(shì),將會(huì)是“具備環(huán)境感知功能的不關(guān)機(jī)手機(jī)”,,而為了打造更具創(chuàng)意的應(yīng)用,,廠(chǎng)商將在感測(cè)器中樞領(lǐng)域發(fā)現(xiàn)一片“綠草地”。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀(guān)點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。