人民網12月24日電 當酷派手機還沉浸在與互聯網巨頭360“聯姻”的喜慶氛圍中時,其后院卻頻頻失火。
被曝后門漏洞涉及千萬用戶
上個月24、25號兩天,國內知名漏洞報告平台“烏雲”上被連續遞交了有關酷派S6手機的6項漏洞,包括酷管家密碼繞過、撥打電話權限繞過、瀏覽器問題、通知欄管理權限繞過以及桌面永久崩潰等。
據了解,酷派S6手機手機於今年2月份發布,當時酷派官方宣稱其為“最安全的4G手機”。
在更早以前,有網友透露酷派手機內一個名為CP_DMP的apk程序,會專門負責往用戶的手機上悄悄推送和安裝應用程序,必須通過root手機后刪除該程序才能解決。
烏雲網公布的信息顯示,酷派手機漏洞最初於今年11月19號提交,其后位於硅谷的安全研究機構Palo Alto Networks 研究員 Claud Xiao也關注到此事,並証實確有大量酷派手機安裝了后門。這個問題數日前被美國帕洛阿爾托Palo Alto安全公司重新提出,該安全調查公司聲稱,這一后門名為“CoolReaper”可在用戶未允許的情況下安裝未知應用、清除用戶信息、通過偽裝OTA軟件升級安裝其他應用,並且會上傳設備信息至酷派服務器。目前這一后門所引起的安全隱患涉及超過1000萬用戶。
帕洛阿爾托表示,盡管CoolReaper后門已經帶來嚴重的安全隱私問題,但是有用戶關於這一問題的投訴都被置之不理甚至是被刪除。
酷派回應稱“管理疏忽”
針對外界所披露的漏洞和手機后門,酷派集團副總裁曹井升回應稱,酷派手機並不存在所謂的后門。酷派承認,其部分手機在連接無線互聯網時會將應用程序下載到設備上,但同時也解釋稱該程序實為酷派應用商店的支撐服務,主要為用戶推送新版軟件、分析發現終端上的惡意軟件並向用戶預警、提示卸載,其目的是為了給用戶提供更好的安全體驗,並稱是屬於管理疏忽所致。目前,系統漏洞已經處理好。
據一位關注此事並對Palo Alto Networks 的研究報告做了細致研究的烏雲網白帽子分析,該手機后門的功能十分強大,非少數人可完成,可能是一個團隊后門也可能是企業后門。通過這個后門,安裝者便可遠程控制用戶手機,其中涉及到廣告推送等利益鏈條,利用這個可以獲取不菲的收益。
據悉,以運營商定制市場起家的酷派手機,去年出貨量全球排名第七,在國內排名第三。今年2月,酷派登頂國內4G手機第一。但因模式單一,隻有手機終端一條生產線,且太過依賴運營商補貼,酷派手機一直無法獲得更高的品牌價值與更大的市場話語權。
一直以來,酷派手機都主打“安全”性能,旗下的“大觀”、“鉑頓”等旗艦機型號稱具有“硬件隔離”“全方位防護”“一鍵數據保護”等功能。前不久,酷派宣布與360公司組建合資公司,合作打造基於智能手機的移動生態系統。
此次酷派手機曝出后門漏洞,酷派官方給出“管理疏忽所致”,顯然不能解答用戶的全部疑惑。有網友認為,在漏洞已經對用戶構成困擾情況下,酷派為什麼遲遲沒有採取行動,任由這種行為持續?(牛春燕)