惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

F
Fortinet All Blogs
宝玉的分享
宝玉的分享
酷 壳 – CoolShell
酷 壳 – CoolShell
T
The Exploit Database - CXSecurity.com
Help Net Security
Help Net Security
腾讯CDC
Project Zero
Project Zero
C
CXSECURITY Database RSS Feed - CXSecurity.com
IT之家
IT之家
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tailwind CSS Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
D
Darknet – Hacking Tools, Hacker News & Cyber Security
L
LINUX DO - 最新话题
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
T
Threatpost
N
News | PayPal Newsroom
C
Cybersecurity and Infrastructure Security Agency CISA
Hacker News - Newest:
Hacker News - Newest: "LLM"
S
SegmentFault 最新的问题
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
P
Proofpoint News Feed
A
Arctic Wolf
B
Blog RSS Feed
Forbes - Security
Forbes - Security
P
Privacy & Cybersecurity Law Blog
Attack and Defense Labs
Attack and Defense Labs
V2EX - 技术
V2EX - 技术
P
Proofpoint News Feed
I
Intezer
Application and Cybersecurity Blog
Application and Cybersecurity Blog
阮一峰的网络日志
阮一峰的网络日志
aimingoo的专栏
aimingoo的专栏
T
Tenable Blog
MyScale Blog
MyScale Blog
U
Unit 42
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
WordPress大学
WordPress大学
W
WeLiveSecurity
D
DataBreaches.Net
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
G
GRAHAM CLULEY
有赞技术团队
有赞技术团队
Martin Fowler
Martin Fowler
罗磊的独立博客
The Last Watchdog
The Last Watchdog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
V
Vulnerabilities – Threatpost
美团技术团队
Microsoft Security Blog
Microsoft Security Blog

月光博客

AI编程从零开始:环境配置到开发调试-月光博客 母亲被保健品诈骗-月光博客 向身体低头,向岁月妥协:我的高血压“还债日记” -月光博客 月光博客电子书:《信息安全指南》 谷歌发布2025年度搜索排行榜 中国2025社会热点大事记 2025年十大流行语发布 7天3次,骗子骗走我母亲95万元 “技术男”设三重安全墙,母亲95万存款还是被骗走了 电信诈骗后的复盘:母亲的95万元,是怎么从手机银行里消失的 母亲被电信诈骗95万元的全过程 阿根廷警察被谷歌街景相机拍到裸照 网信办开展“清朗·整治恶意挑动负面情绪问题”专项行动 翟欣欣敲诈勒索案一审获刑12年 《绝命毒师》影评:力工觉醒后的梭哈至死 《人工智能生成合成内容标识办法》正式施行 用AI分析你的财务信息 腾讯子公司实习HR怒怼求职者后被开除 OpenAI发布最强模型GPT-5,免费向所有用户开放 用AI解构你的日记 用AI分析你的游戏偏好 用AI分析你的观影偏好 用AI分析你的听歌偏好 《白鹿原》人物分析:乱世浮沉中的人性剖析 乌托邦的捷径:让AI治理“失败国家” 苹果AI的“路径错误”:为什么它在大模型时代掉队了? 《暗黑破坏神3》第35赛季开荒指南 我对特朗普的看法 欧·亨利十大经典小说鉴赏 HBO电视剧《最后生还者》第二季影评 播客自动化更新分发教程 《围城》人物分析:知识分子的时代困局 NotebookLM音频概览支持中文 《暗黑破坏神3》国服回归 《暗黑破坏神3》国服赛季开荒指南 《网络数据安全管理条例》正式发布实施 契约之下的自由:社会契约论 如何去除文章的AI味道 电影《好东西》影评 我的价值观:义务论和效益论 《魔兽世界》正式服PVP教程 电影《哪吒2》影评 中医理论不是科学理论 DeepSeek与主流AI模型对比评测 TikTok停止在美国服务 我的三观(世界观、价值观、人生观) 《无限暖暖》游戏评测 2024年财经年度总结 月光博客2024年推荐阅读文章 IMDb公布2024年热门电影和电视剧 2024年十大流行语发布 谷歌发布2024年度搜索排行榜 中国2024社会热点大事记 Google Adsense税务居住地证明申请教程 极狐GitLab回应前员工实名举报公司高管:恶意诽谤造谣 升级FTTR千兆光纤带宽 字节跳动起诉前实习生索赔800万 看完历届奥斯卡最佳影片后的体验 李子柒已经正式改名并恢复更新 苹果历年新春短片 “姜萍事件”调查结果公布 胡锡进社交平台恢复更新 上海女子沙白自杀的伦理道德分析 京东与杨笠一起玩火 字节跳动大模型训练被实习生攻击,涉事者已被辞退 《加勒比海盗》系列电影 《夺宝奇兵》系列电影时间线 《侏罗纪公园》系列电影时间线 《终结者》系列电影时间线 华为禁止用户从外部手动安装安卓应用(APK文件) 《炉石传说》国服回归一片混乱 官媒辟谣苹果手机被远程引爆 小米回应摄像头里出现陌生男子说话 环球人物:民族大义不是流量密码,盲目排外没有土壤 《异形》系列电影时间线 看完IMDb250后的体验 暴雪《炉石传说》国服开启预约 网易DD参与代打《魔兽世界》事件的深入分析 福建男子四年前“翻墙”浏览境外网站被行政处罚 《魔兽世界》正式服开服两周游戏体验 暴雪游戏足迹查询:查看暴雪游戏的数据 用AI分析你的推特社交网络数据 胡锡进停更三个月 国家网络身份认证公共服务管理办法向社会公开征求意见 苹果将部分产能转回中国 Windows全球大范围蓝屏 电影《V字仇杀队》影评 微软中国员工禁用安卓手机:只能用iPhone 《魔兽世界》怀旧服“巫妖王之怒”游戏体验 百度旗下萝卜快跑已在多个城市开放载人测试 我为什么不喜欢华为这家企业 胡锡进:强烈谴责苏州袭击日本人的凶手 20美元在美国超市的购买力 华为紧急辟谣“是国内最大的牛肉进口商” 苹果公司公布2024年Apple设计大奖获奖名单 自动生成电影剧本:人工智能技术的崭新里程碑 电影《芳华》人物分析 Steam账号被盗号的解决方法 中文互联网内容正在逐步消失 马斯克:推特域名已全部转移到X
小米4被指预装恶意软件:回应称测试机遭篡改
投稿 · 2015-03-09 · via 月光博客

近日有媒体报道,美国数据安全公司Bluebox通过测试发现,小米4手机中预装了恶意软件,还在这款手机中发现了很多其他问题。更令人担忧的是,这款手机似乎已经被尚未确认的第三方篡改。

Bluebox曾经就此问题联系小米,但并未得到回复,该公司随后在上周四发布了报告。当Bluebox的研究人员收到这款手机时,确定那是一款使用小米账户的合法小米设备。经过深入的测试后,研究人员发现这款智能手机中预装了多款恶意应用,包括一款伪装成合法谷歌应用的广告软件、一个可以让黑客控制手机的木马,还有其他一些高危软件。

另外,Bluebox首席安全分析师安德鲁·布莱齐(Andrew Blaich)还表示,在该公司进行的所有漏洞扫描中,小米4该都存在问题。

布莱齐还表示,小米4的操作系统是未经认证的Android版本,因此可能存在很多瑕疵。他的团队发现的很多问题和漏洞都是较老的Android系统中存在的问题,最新版本已经修复,因此,他们认为小米4的操作系统融合了新的Android 4.4.4奇巧系统和旧版Android系统。API中的其他一些问题导致安全人员难以判断该设备究竟是用于测试的设备,还是供用户使用的产品。

该公司还怀疑,这款设备可能被第三方篡改,因为某些应用的签名与小米的签名密钥并不相同。

上周五,Bluebox终于收到小米方面的回复,小米国际副总裁雨果·巴拉(Hugo Barra)在回复中说:“我们确定Bluebox测试的设备使用的并非标准版MIUI ROM,因为我们的工厂ROM和OTA ROM从未root,也不会安装YT Service、PhoneGuardService、AppStats等服务。Bluebox购买的这款测试用机可能被篡改了,因为他们是通过中国的一家实体店购买的,而小米并不通过中国的第三方零售商销售手机,只通过官方网站和部分运营商销售。”

巴拉还表示,小米正在调查该公司为何花费这么长时间才作出回应。他建议用户只购买Mi.com网站和部分认证商店的小米设备。

不过,布莱齐似乎并不认可这一回复。他写道:“如果在零售渠道中这么容易篡改设备,那么即使通过Mi.com购买,也同样也可以在运输过程中篡改。”他还引述了另外一篇来自《明镜周刊》的新闻报道:美国情报部门可以在某些设备到达目的地之前在其中加载恶意软件——这是一种更加现代化的窃听方式。他认为,如果小米智能手机已经在零售层面被黑客入侵,便有可能引发更复杂的攻击。

布莱齐在报告中指出,电子设备越受欢迎,遭到攻击的频率就越高。小米的MIUI平台拥有1亿用户,而且计划今年进军美国,因此该公司的用户数量今后还将继续增加。

小米随后就此事向科技博客Venturebeat发布声明称:“Bluebox得到的那部小米4手机可能被第三方篡改,因为那是通过非官方渠道购买的。由于中国的各个手机品牌都存在巨大的平行市场,所以第三方经常通过这类渠道篡改任何品牌的手机。小米只通过Mi.com以及移动运营商等少数受信赖的合作伙伴销售手机。”

小米还补充说:“另外,与Bluebox的结论不同的是,MIUI使用的是真正的Android系统,意味着MIUI完全遵守Android的兼容性定义文件(CDD),而且通过了所有的Android CTS测试,这是行业内用于确保某款设备完全兼容Android的一项流程,适用于中国和国际市场。”

稿源:新浪科技

小米4被指预装恶意软件:回应称测试机遭篡改