酷派手机深陷“后门”

24.12.2014  12:50

  当行业通稿还围绕着酷派和360联姻的话题时,这边厢酷派自家的后院却在接连失火。上个月24、25号两天,国内知名漏洞报告平台“乌云”上被连续递交了有关酷派S6手机的6项漏洞,包括酷管家密码绕过、拨打电话权限绕过、浏览器问题、通知栏管理权限绕过以及桌面永久崩溃等。该手机于今年2月份发布,当时酷派官方宣称其为最安全的4G手机。

  更早以前,另有网友透露酷派手机内一个名为CP_DMP的apk程序,会专门负责往用户的手机上悄悄推送和安装应用程序,必须通过root手机后删除该程序才能解决。

  这个问题数日前被美国帕洛阿尔托Palo Alto安全公司重新提出,该公司同时还报告称,最多有24款酷派设备均存在后门漏洞程序,该后门漏洞可以在用户未允许的情况下安装未知应用、清除用户信息、通过伪装OTA软件升级安装其他应用,并且会上传设备信息至酷派服务器。安全人员分析发现,酷派后门会引起的问题包括:在用户未收到任何提示的情况下,下载、安装、启用任何Android应用程序;清除用户数据,卸载现有应用以及禁用系统默认应用程序;在无需升级的设备上伪装手机Android系统提供的标准软件升级方式升级程序,安装未知应用;发送短信或彩信到其他手机;拨打任意电话;上传设备信息,包括地理位置、应用用量、电话、短信等记录到酷派服务器。

  在报告中,该公司人员表示是在接到多名酷派用户报告了自己手机的异常现象后才开始着手调查的,不过目前发现的问题,仅限于中国大陆和台湾的酷派手机用户涉及到的用户量或达到千万级别。帕洛阿尔托(Palo Alto)表示,尽管酷派后门已经带来严重的安全隐私问题,但是有用户关于这一问题的投诉都被置之不理甚至是被删除。这一点在事件曝出后,大量网友在下方的负面回复也可见一斑。

  不过,针对外界所披露的漏洞和手机后门,酷派集团副总裁曹井升在接受采访时直言,酷派手机并不存在所谓的后门,系统漏洞已经处理好。目前,酷派已经承认其部分手机在连接无线互联网时会将应用程序下载到设备上,但同时也解释称该程序实为酷派应用商店的支撑服务,主要为用户推送新版软件、分析发现终端上的恶意软件并向用户预警、提示卸载,其目的是为了给用户提供更好的安全体验,并称是属于管理疏忽所致。

  酷派手机以运营商定制市场起家,去年酷派出货量全球排名第七,在国内排名第三;今年2月,酷派登顶国内4G手机第一。酷派模式非常简单,它只有手机终端一条产品线、且以国内市场为主,渠道控制上又足够强势。正是借助于此,酷派才能在3G和4G高速发展的年头里,借势运营商而拔得头筹。问题在于,最主要的一点,由于酷派对运营商太过依赖,导致在今年下半年运营商补贴下降的情况下,酷派受到的震动很大,虽然酷派也开始了变革,不过由于一直不是直面消费者的品牌,消费者之前基本是看中运营商补贴才去消费的,所以酷派无论是在之前还是当下,其市场话语权都不大,而这也就导致其议价和品牌价值一直升不高。

  这也使得在酷派进行变革时,难免竞争力缺乏,产品不接地气的问题,而现在被酷派紧握的“安全”这张牌,无疑已经被视为是一股改变一切的重要力量。但现在,酷派被无情的连打了几个巴掌,而且证据确凿,因为从此次事件中可以看出,酷派的行为之所以难以被用户检测和卸载,其中势必会牵扯到对底层系统的修改,通过这种变动来掩护其所作所为,而这种问题,绝不可能如酷派官方声称的那样只是管理疏忽,因为工程师对这一切不可能不知情,而之所以能够长期施行,必定有管理层的授命。

  究其原因,恐怕离不开主动推送自己广告和自动下载软件,所能带来的可观的黑色利益,也正因此,酷派才能够推出低到两三百元的手机,因为这一部分隐形收入足以弥补这一缺口,并盈余足够的利润。“后门事件直接意味着酷派手机存在严重窃取用户隐私的问题,而且从设置后门方式来看,显然并非一般意义上的技术性Bug,而是一种蓄意行为。”一位不愿具名的互联网安全专家指出,“酷派手机或将因此面临巨大的舆论压力和法律风险。”白帽子也表示,手机存在后门其中涉及到广告推送等利益链条通过这个可获取不菲的收益。比如,安装一个应用是六毛钱或者八毛钱,一千万个后台手机推送就相当于一千万乘以六毛的利润。调查发现,近一年生产的机型都包括这个后门,可能是在一年前研发并投入使用的。后门功能强大不是一两人能完成可能是一个团队后门也可能是企业后门。算是目前我见过的最强大的手机后门。

  因此,酷派宣传自己要做安全手机第一品牌,在铂顿的发布会上,酷派还将铂顿形容为最适合政企界人群、明星等对个人隐私有高度保护需求的人,也正是借助于安全“资本”,铂顿手机才能够定价如此之高。走安全这条路是一个好的选择,要是哪家厂商真的能做到领先,那么在业界出名拔尖也不会是难事,特别是考虑到移动支付和智能家居这些越来越深度关系到用户财产安全的技术正在高速普及,安全接下来将会是主要的竞争高地。原本在国产中,酷派是走在前列的,但现在出了这等事,恐怕接下来无论是内销还是出海,都难以洗清了。也许与360的联姻是个转折点,不过终归还是晚了一些,再加上后者在业界的口碑,酷派选择的“安全”未来可能会走的更加艰难。

  另外,金山手机毒霸、猎豹清理大师、猎豹安全大师等软件均可帮助用户清除酷派手机中的内置后门。用户也可按以下步骤手动停止酷派后门程序的运行,这样除非手动运行后门程序,再次开机之后,后门程序将不会自动运行,中毒用户也可联系酷派公司要求卸载该后门程序。

  步骤1:设置->应用下的Android系统为病毒

  点击查看应用属性。

  步骤2:在应用信息对话框,确认包名为“com.android.update.dmp”,点击停用即可。

  责编:李阳