小米手机预装应用暗藏隐私风险?官方回应升级机制安全问题
用户发现小米手机内置AnalyticsCore.apk,疑存在后台自动更新、上传设备信息行为
王小二跟邻居张大牛买了一只鹅。张家出品的鹅号称一条龙服务,如果鹅生病一定会负责到底,要么治好,要么换鹅。不过,最近王小二发现,张大牛总在王小二不注意或者夜半无人私语时来王家院子偷偷捡鹅粪。
王小二纳闷了,张家到底在干吗?是不是看上了我家翠花?他怒了,在集市上质问张大牛,张大牛百口莫辩,只说捡鹅粪是为了看看鹅有没有生病。
王小二将信将疑,他很生气,那意思是以后时不时还有别家有别的借口来我家遛遛顺点啥?
这个乡村爱情故事也许与本文主题有点关系——当我们在使用智能设备时,是否有“看不见的手”正在悄悄收集我们的数据?
新手机预装无法卸载的APP已成常态,但这些预装程序是否会威胁用户隐私安全?这一问题在荷兰一位小米4用户的发现中被再次提出。
该用户发现其设备中内置了一个名为AnalyticsCore.apk(com.miui.analytics)的应用,并在其运行过程中每24小时访问小米服务器检查更新,发送的数据包括IMEI、型号、MAC地址、Nonce、包名和签名等信息。整个下载和安装过程无需用户干预。
若没有足够验证机制,黑客可能利用中间人攻击劫持连接并植入恶意代码,进而实现远程控制用户设备。
小米官方回应:升级机制已有安全防护措施,新版启用HTTPS协议
小米方面表示,AnalyticsCore是MIUI系统内置组件,用于分析错误日志以提升用户体验。软件在安装及升级期间均会验证APK签名,确保仅可安装具备正确签名的官方应用包。
同时,自今年四月至五月发布的MIUI v7.3版本起,已全面启用HTTPS协议,提升了数据传输的安全性。
专家解读:老版确存安全隐患,新版仍未完全杜绝高级攻击
HTTPS为HTTP协议加入了SSL/TLS加密层,防止数据被窃取或篡改。然而,小米此前使用的HTTP协议确实存在漏洞,容易遭受中间人攻击。
尽管新版采用HTTPS协议提高了安全性,但部分技术高超的攻击者仍可通过NTP欺骗等方式绕过防护。
此外,设备信息在上传时为明文传输,也存在潜在风险。
是否构成“窃取用户隐私”?知乎专家指出其他厂商也有类似做法
知乎用户“Android Framework”表示,小米此举并非特例:
- Google通过GMS服务也在执行类似功能,如Play Auto Installs机制;
- Apple同样在收集用户信息进行系统优化;
- 静默安装、布局调整等功能早已存在于各类系统之中。
因此,仅因数据收集行为就定义小米“窥探隐私”并不公允,关键在于其是否提供透明的用户授权机制。
用户应对建议
如担心此类应用带来的潜在风险,可通过防火墙屏蔽相关域名连接:
- 仅屏蔽该应用升级接口影响较小;
- 整体屏蔽可能导致MIUI其他功能更新受阻。
此外,预装应用通常拥有较高权限且难以删除,相较之下普通应用更易控制。
