文/小编也疯狂 首发于百度百家
酷派被国外安全研究公司Palo Alto Networks发现故意在其二十多款机型中安装了一个名为“CoolReaper”的后门,它可以在用户未允许的情况下安装未知应用、可以任意发送短信或拨打电话、清除用户信息、通过伪装OTA软件升级安装其他应用,并且会上传设备信息至酷派服务器。但随后酷派官方回应称:“CoolReaper”程序实为酷派应用商店的支撑服务,用来为用户推送新版软件、分析发现终端上的恶意软件并向用户预警、提示卸载,其目的是为了给用户提供更好的安全体验。不过由于管理疏忽,该软件被不恰当的用于给用户推送软件升级通知和促销广告。一个说是“后门”,一个说是“支撑服务”,“CoolReaper”到底是什么?
“CoolReaper”到底是什么?
关于“CoolReaper”的问题,我特意找了一位安全领域的朋友了解了下相关情况。据他分析“CoolReaper”应该是DMP程序,这种程序一般都被手机厂商用在三个方面,一是保护手机自带系统软件不被恶意软件卸载;二是为应用商店提供软件下载更新;三是辅助OTA。
注意,看到这里可能大家都觉的“CoolReaper”是安全的,没有问题的,但事实并非如此!如果依照Palo Alto Networks和乌云这样的机构通过代码反编译获取部分代码进行行为猜测的话,“CoolReaper”是可以实现在用户未允许的情况下安装未知应用、可以任意发送短信或拨打电话、清除用户信息、通过伪装OTA软件升级安装其他应用,并且会上传设备信息至酷派服务器等一些列行为的。换句话说,“CoolReaper”尽管是被开发出来用作系统正规服务的程序,但是确实存在安全隐患,可以被当做“后门”来使用。
酷派利用“CoolReaper”都做了些什么?
“CoolReaper”在酷派手机系统支撑方面的服务肯定有,但是我们在此就不做展开,主要讨论的还是它的争议点。从目前看到酷派用户的反馈点来说,主要有两个方面:第一,推送广告。“CoolReaper”其实就是“CP_DMP.apk”,在之前的安卓技术论坛,就有人不堪酷派的广告骚扰愤而删除此程序,但结果恰恰证明,酷派确实是利用这个程序在推送各种促销广告。第二,伪装OTA系统升级,安装用户不需要的程序。这一点尽管酷派官方回应说只是弹框提示升级官方软件,但确实给用户造成了困扰。从这两点上来说,酷派确实已经犯了无法推卸的错误,不仅严重破坏了用户体验,而且还造成“CoolReaper”成为“后门”的重大嫌疑!
除了以上两点,“CoolReaper”被Palo Alto Networks和乌云描述为还有其他“功能”。清除用户数据,卸载现有应用以及禁用系统应用,这个功能尽管目前很多管家甚至APP商店都具备此功能,我个人觉的这项功能并没有什么问题,也没有证据表明酷派使用过这项功能。向手机中发送或插入任意短信或彩信;拨打任意手机号码,这两项功能很有意思,尽管酷派解释是为了分享和售后服务的便利,但我个人却认为,这两项功能应该是为将来的推送“促销广告”做准备的,目前并没有开启。向酷派服务器上传设备信息,包括地理位置、应用使用、电话、短信等历史记录,目前只要是个APP几乎都要读取这些信息,似乎已是司空见惯,但作为罪名的一项,却是有点吹毛求疵了,话又说回来,厂商手机这些信息也是没有多大用处,但尬尴的是“CoolReaper”确实具备这个功能。
广告并不能成为危及公众安全的借口
在酷派官方的回应中,把此次“CoolReaper”对用户造成的安全危害,完全推到自己用来推送“促销广告”的疏忽上,我认为是极其的不负责任。尽管“CoolReaper”并非是为黑客活动而开发(否则就是违法了!),但是却间接地对酷派用户的安全造成了巨大威胁。“CoolReaper”极其容易被恶意黑客利用,对用户隐私和财产安全造成不利影响。但在事件的背后,我也在思考,在大规模推送广告对用户已经构成困扰的情况下,酷派官方难道没有收到反馈?为什么没有采取行动,任由这种行为持续以致造成今天的恶果?
在如今的传统互联网市场乃至移动互联网市场,弹窗广告和应用分发已是相对成熟的广告盈利方式,很多有大量用户基数的产品都在投放这一类型广告。于是乎,在利润的诱惑下,很多厂商背离了用户体验为王的根本,千方百计的追逐广告效益的最大化。像“CoolReaper”推送广告的这种行为,无论你怎么root和卸载应用程序,都无法避免的要接受广告的骚扰,顽固的近乎流氓。不可否认的是,如果没有大量的广告利润的趋势,也许不会有“CoolReaper”这样的程序存在,或许说及时存在,也许“神通”不会这么广大。但我想说的是,无论怎样,广告并不能成为危及公众安全的借口,酷派应该反思,自重!
作者微博:@小编也疯狂 微信订阅号:小编也疯狂(id:xiaobianyefengkuang)
小编也疯狂的文章也出现在:百度百家、今日头条、iDoNews专栏、艾瑞专栏、界面、速途网、虎嗅、蓝鲸TMT、鞭牛士、搜狐IT、搜狐新闻客户端等媒体
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。