Micromax在设备上远程安装不必要的应用程序

在最近的过去，我们看到许多原始设备制造商为了各种目标而搞砸了(比如改进基准测试结果)。我们还听说，制造商和运营商在他们的设备中添加了跟踪软件，以收集关于设备性能的数据，关于设备和无线电塔之间的语音和数据连接的统计信息，甚至电池运行时间数据(你在听CarrierIQ吗？) 。然而，今天有报道称，印度电话制造商Micromax的一些设备的用户注意到，应用程序是在未经他们同意或允许的情况下无声安装的。

似乎即使卸载这些应用程序也无济于事，因为它们只会很快重新出现。显然，这在很多层面上都是错误的，但我还是想指出一些关键问题：

无法控制设备上安装了哪些应用程序会带来巨大的安全风险，因为您不需要检查应用程序的权限，也不知道这些应用程序是否真的是原始应用程序(或者可能在恶意软件中被修改过)。

Micromax设备往往不是你能找到的最高端的，所以存储空间还是被认为是奢侈的(总共4GB)，而且这款设备的存储空间充满了随机应用，肯定没有把这宝贵的空间发挥到极致。

下载也是在使用移动网络的时候进行的，所以如果你的手机一直试图下载你不想拥有的应用，那么昂贵的全速数据将会大大减少。

虽然这些做法本身已经听起来非常错误，但不幸的是，它们还没有结束。除了下载应用程序，这些设备似乎还会不时在通知栏中显示广告。一位reddit用户报告说，一次显示8-10个广告，并在寻找应用程序的这些令人不安的通知时向他展示了一个名为“软件更新”的系统应用程序。

因此，在这一点上，听起来确实像是Micromax增加了定制软件，可以远程安装应用程序，并向用户设备推送广告。然而，如果我们停止假设事情，简单地告诉你一个在互联网上鼓吹事情的人的故事，我们就不会在XDA开发者上。因此，我们决定拆除应用程序并检查其内容。

证据

当您开始拆除应用程序(实际上在文件系统上称为FWUpgrade.apk)时，您注意到的第一件事是它是第三方应用程序。一家名为Adups的中国公司开发了它来取代谷歌的在线股票服务。显然，Micromax决定用它来代替库存产品。您需要进一步分析的第一个障碍是字节码级别的混乱，阅读大多数材料真的不是一件愉快的事情。但是，如果您知道自己在寻找什么，应用程序就无法隐藏其真实性质。这里提供的证据从一些代码开始，向您展示了应用程序的潜在功能，并以一些更有趣的东西结束。

让我们从静默安装的应用程序开始。要从另一个应用程序执行此操作，您需要直接使用Android PackageManager API或从外壳发出安装命令。第二种情况在这里是正确的，如下面的代码所示(请注意：这是简化的Java代码，由于混淆，实际代码看起来有些不同):

在这里，您可以看到一个新创建的StringBuilder，它包含命令pm install，后跟s2。在这种情况下，它是一个字符串变量，包含下载的apk文件的文件系统路径。然后将完成的字符串传递给执行以下操作的新方法：

在这里，您可以看到带有shell命令的字符串用于启动执行该命令的进程，但实际上，该进程会静默安装apk文件。在这一点上，我们可以肯定地说，Micromax ROM中的OTA检查服务不仅可以下载和刷新系统OTA，还可以静默安装应用程序。这本身意义不大，因为不一定是坏事，但要做的事情还很多。

在应用程序中，我找到了一些对公司网站的引用，包括带有大量功能列表的引用。我们看看最有趣的部分好吗？

用公司自己的话说，就在那里。应用推送服务。设备数据挖掘。手机广告。这和reddit的初始报告非常吻合，你不觉得吗？所以，这里的坏人其实是Micromax，因为这些都是Adups应用的官方功能，Micromax很可能从强制安装应用和通知广告中赚取收入。他们还选择了与提供商合作，而不是将自己的服务器与谷歌的OTA服务一起使用，因此他们充分意识到这将对用户产生什么影响。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！