酷派被国外安全研究公司Palo Alto Networks发现故意在其二十多款机型中安装了一个名为“CoolReaper”的后门,它可以在用户未允许的情况下安装未知应用、可以任意发送短信或拨打电话、清除用户信息、通过伪装OTA软件升级安装其他应用,并且会上传设备信息至酷派服务器。但随后酷派官方回应称:“CoolReaper”程序实为酷派应用商店的支撑服务,用来为用户推送新版软件、分析发现终端上的恶意软件并向用户预警、提示卸载,其目的是为了给用户提供更好的安全体验。不过由于管理疏忽,该软件被不恰当的用于给用户推送软件升级通知和促销广告。一个说是“后门”,一个说是“支撑服务”,“CoolReaper”到底是什么?
关于“CoolReaper”的问题,我特意找了一位安全领域的朋友了解了下相关情况。据他分析“CoolReaper”应该是DMP程序,这种程序一般都被手机厂商用在三个方面,一是保护手机自带系统软件不被恶意软件卸载;二是为应用商店提供软件下载更新;三是辅助OTA。
注意,看到这里可能大家都觉得“CoolReaper”是安全的,没有问题的,但事实并非如此!如果依照Palo Alto Networks和乌云这样的机构通过代码反编译获取部分代码进行行为猜测的话,“CoolReaper”是可以实现在用户未允许的情况下安装未知应用、可以任意发送短信或拨打电话、清除用户信息、通过伪装OTA软件升级安装其他应用,并且会上传设备信息至酷派服务器等一些列行为的。换句话说,“CoolReaper”尽管是被开发出来用作系统正规服务的程序,但是确实存在安全隐患,可以被当做“后门”来使用。
“CoolReaper”在酷派手机系统支撑方面的服务肯定有,但是我们在此就不做展开,主要讨论的还是它的争议点。从目前看到酷派用户的反馈点来说,主要有两个方面:第一,推送广告。“CoolReaper”其实就是“CP_DMP.apk”,在之前的安卓技术论坛,就有人不堪酷派的广告骚扰愤而删除此程序,但结果恰恰证明,酷派确实是利用这个程序在推送各种促销广告。第二,伪装OTA系统升级,安装用户不需要的程序。这一点尽管酷派官方回应说只是弹框提示升级官方软件,但确实给用户造成了困扰。从这两点上来说,酷派确实已经犯了无法推卸的错误,不仅严重破坏了用户体验,而且还造成“CoolReaper”成为“后门”的重大嫌疑!
除了以上两点,“CoolReaper”被Palo Alto Networks和乌云描述为还有其他“功能”。清除用户数据,卸载现有应用以及禁用系统应用,这个功能尽管目前很多管家甚至APP商店都具备此功能,我个人觉得这项功能并没有什么问题,也没有证据表明酷派使用过这项功能。向手机中发送或插入任意短信或彩信;拨打任意手机号码,这两项功能很有意思,尽管酷派解释是为了分享和售后服务的便利,但我个人却认为,这两项功能应该是为将来的推送“促销广告”做准备的,目前并没有开启。向酷派服务器上传设备信息,包括地理位置、应用使用、电话、短信等历史记录,目前只要是个APP几乎都要读取这些信息,似乎已是司空见惯,但作为罪名的一项,却是有点吹毛求疵了,话又说回来,厂商手机这些信息也是没有多大用处,但尬尴的是“CoolReaper”确实具备这个功能。
在酷派官方的回应中,把此次“CoolReaper”对用户造成的安全危害,完全推到自己用来推送“促销广告”的疏忽上,我认为是极其的不负责任。尽管“CoolReaper”并非是为黑客活动而开发(否则就是违法了!),但是却间接地对酷派用户的安全造成了巨大威胁。“CoolReaper”极其容易被恶意黑客利用,对用户隐私和财产安全造成不利影响。但在事件的背后,我也在思考,在大规模推送广告对用户已经构成困扰的情况下,酷派官方难道没有收到反馈?为什么没有采取行动,任由这种行为持续以致造成今天的恶果?
在如今的传统互联网市场乃至移动互联网市场,弹窗广告和应用分发已是相对成熟的广告盈利方式,很多有大量用户基数的产品都在投放这一类型广告。于是乎,在利润的诱惑下,很多厂商背离了用户体验为王的根本,千方百计的追逐广告效益的最大化。像“CoolReaper”推送广告的这种行为,无论你怎么root和卸载应用程序,都无法避免的要接受广告的骚扰,顽固的近乎流氓。不可否认的是,如果没有大量的广告利润的趋势,也许不会有“CoolReaper”这样的程序存在,或许说及时存在,也许“神通”不会这么广大。但我想说的是,无论怎样,广告并不能成为危及公众安全的借口,酷派应该反思,自重!
作者微博:@小编也疯狂 微信订阅号:小编也疯狂(id:xiaobianyefengkuang)