在最近的过去,我们看到许多原始设备制造商为了各种目标而搞砸了(比如改进基准测试结果)。我们还听说,制造商和运营商在他们的设备中添加了跟踪软件,以收集关于设备性能的数据,关于设备和无线电塔之间的语音和数据连接的统计信息,甚至电池运行时间数据(你在听CarrierIQ吗?) 。然而,今天有报道称,印度电话制造商Micromax的一些设备的用户注意到,应用程序是在未经他们同意或允许的情况下无声安装的。
似乎即使卸载这些应用程序也无济于事,因为它们只会很快重新出现。显然,这在很多层面上都是错误的,但我还是想指出一些关键问题:
无法控制设备上安装了哪些应用程序会带来巨大的安全风险,因为您不需要检查应用程序的权限,也不知道这些应用程序是否真的是原始应用程序(或者可能在恶意软件中被修改过)。
Micromax设备往往不是你能找到的最高端的,所以存储空间还是被认为是奢侈的(总共4GB),而且这款设备的存储空间充满了随机应用,肯定没有把这宝贵的空间发挥到极致。
下载也是在使用移动网络的时候进行的,所以如果你的手机一直试图下载你不想拥有的应用,那么昂贵的全速数据将会大大减少。
虽然这些做法本身已经听起来非常错误,但不幸的是,它们还没有结束。除了下载应用程序,这些设备似乎还会不时在通知栏中显示广告。一位reddit用户报告说,一次显示8-10个广告,并在寻找应用程序的这些令人不安的通知时向他展示了一个名为“软件更新”的系统应用程序。
因此,在这一点上,听起来确实像是Micromax增加了定制软件,可以远程安装应用程序,并向用户设备推送广告。然而,如果我们停止假设事情,简单地告诉你一个在互联网上鼓吹事情的人的故事,我们就不会在XDA开发者上。因此,我们决定拆除应用程序并检查其内容。
证据
当您开始拆除应用程序(实际上在文件系统上称为FWUpgrade.apk)时,您注意到的第一件事是它是第三方应用程序。一家名为Adups的中国公司开发了它来取代谷歌的在线股票服务。显然,Micromax决定用它来代替库存产品。您需要进一步分析的第一个障碍是字节码级别的混乱,阅读大多数材料真的不是一件愉快的事情。但是,如果您知道自己在寻找什么,应用程序就无法隐藏其真实性质。这里提供的证据从一些代码开始,向您展示了应用程序的潜在功能,并以一些更有趣的东西结束。
让我们从静默安装的应用程序开始。要从另一个应用程序执行此操作,您需要直接使用Android PackageManager API或从外壳发出安装命令。第二种情况在这里是正确的,如下面的代码所示(请注意:这是简化的Java代码,由于混淆,实际代码看起来有些不同):
在这里,您可以看到一个新创建的StringBuilder,它包含命令pm install,后跟s2。在这种情况下,它是一个字符串变量,包含下载的apk文件的文件系统路径。然后将完成的字符串传递给执行以下操作的新方法:
在这里,您可以看到带有shell命令的字符串用于启动执行该命令的进程,但实际上,该进程会静默安装apk文件。在这一点上,我们可以肯定地说,Micromax ROM中的OTA检查服务不仅可以下载和刷新系统OTA,还可以静默安装应用程序。这本身意义不大,因为不一定是坏事,但要做的事情还很多。
在应用程序中,我找到了一些对公司网站的引用,包括带有大量功能列表的引用。我们看看最有趣的部分好吗?
用公司自己的话说,就在那里。应用推送服务。设备数据挖掘。手机广告。这和reddit的初始报告非常吻合,你不觉得吗?所以,这里的坏人其实是Micromax,因为这些都是Adups应用的官方功能,Micromax很可能从强制安装应用和通知广告中赚取收入。他们还选择了与提供商合作,而不是将自己的服务器与谷歌的OTA服务一起使用,因此他们充分意识到这将对用户产生什么影响。