如何看待 Android 第三方 ROM 的安全性隱患?
最近又有爆出安卓機出現可以錄下通話內容的木馬,不得不再次對安卓系統的安全性擔心起來。總結起來有幾個方面的問題:1.在國內,大多安卓用戶使用的是第三方ROM,系統是否被植入後門,或者木馬,普通用戶很難識別,再加上ROOT後,普通應用能獲得更大的許可權,安全問題難以保證;2.很多並不相關的應用也要求讀取我的聯繫人數據,比如UC,百度地圖等,在國內這個奸商橫流的環境下,數據的安全性毫無可言;3.手機商為何不能開發像第三方ROM那樣簡單易用省電的ROM
PS:網路時代隱私無法藏身,以及即將全面鋪開的雲端時代,用戶將何去何從,是固守本地,轉投封閉的IOS,還是赤裸擁抱開放。以上是作為一名普通的用戶的一點淺顯的看法,請大佬們指正,開導~
1. 如果是一些不值得信任的第三方製作的ROM,確實會有一定危險,但對於有的開發社區做的ROM,還是相當值得信賴的,比如cyanogenmod,全部源代碼都可以下到,有什麼後門直接就被人暴露出來了。對於root來說,目前大部分人使用的superuser permissions還是相對比較安全的,至少申請了root的應用都在你的允許和監控下。
2. 隨意讀取聯繫人的問題確實是比較嚴重,但這個也是在用戶允許的情況下,如果對其有疑問,建議不安裝即可,Android應用眾多,總有替代產品的。此外,在iOS上此類問題同樣存在,用戶數據隨便會被應用訪問到,而且還是不會有任何提示,從這方面來說,Android的提示是比iOS安全更多的做法。
3. 手機商為何沒有第三方ROM功能多,易用,這個和手機商本身條件和外部政策等的限制有關的,不僅僅是技術的限制。一個最簡單的例子,大家都需要GMS這樣的應用,但國內想上都不可以,而且GMS也是有費用支出的,第三方則基本沒這種限制。並且,第三方有時會對Android系統進行一些更深入的修改,會導致產生一些兼容性問題,也許會無法通過CTS測試,對於廠家來說,很多是無法接受的。而且,廠家會為其系統構建一些戰略性應用,這些應用不會因為好用與否就有所變化,而第三方也很少這種限制。第三方Rom除了樓上提到的隨意讀取手機信息等問題之外,還有更加隱性的問題。第三方rom通過修改框架代碼,可以截獲應用請求,從而在app編寫人員不知情的條件下,改變應用請求。這個類似於中間人劫持的效果。
比如MIUI的工程師曾談到給第三方應用換膚的技術實現,就是通過修改框架resources類,截獲應用對資源的請求。雖然換膚是個小事情,但是此類技術是否應該應用是需要探討的。1.這確實是一個問題,第三方ROM製作過程都沒有公開化,還不如CM比較好是不是?但CM有很多不是自己喜歡或者風格的,而且,我疑惑了:你不喜歡,為什麼不考慮原生的系統?或者品牌定製系統?原生的系統或廠家品牌系統起碼能夠保證安全的吖。雖然不是盜版,但安全性一直存在的系統還是值得思考的問題。
Root許可權有時候不需要比較好,一些別用有心的應用需求Root幹嘛呢?目前原生系統2.3上已經滿足了大部分的需求和滿足。只是中國人壓抑太久了,渴望擁有更大的許可權……2.有一些UC確實需要讀取,但UC本身的功能是需要你去獲取許可權,比如發簡訊,UC邀請或發送啊什麼都需要許可權的。但百度地圖可以用自帶啊……為神馬要用百度地圖?
3.初期如G1~G4確實都有這樣的問題,低能的手機性能跟不上系統速度,加以系統版本越升級越要求高,低能的手機被迫只能採用第三方ROM來刷機滿足,當然包括不負責任的手機廠家沒有推出ROM咯。但淘汰的最好不要買,盡量購買2500以上的手機,因為目前的這些手機都能足以應付以後系統版本升級(可能升級不了,3.0出來了以後,2.3基本沒有升級的可能。)網路的確無法隱藏,但你有需求的情況下可以使用它雲服務。Google啊什麼外國的還是值得保證的,可惜國內不明真想直接封了,還大力提倡國內雲服務。。就像觸摸屏已經推廣越來越快,你應該固守本地的9格手機呢?還是赤裸裸地擁抱?
評價第三方ROM:如果你手機能夠滿足自己所需的功能,就盡量不要刷機,因為刷機並不是玩機的理由。而是暴力欺凌手機的另一個借口。不要聽信別人說:你沒有刷機,就等於你沒有玩過。其中他們的利益驅動才讓他們說,讓你們覺得沒刷機就太沒面子了,就刷機了……試問,需要用到的Root手機有哪些應用?我不知道,但我這手機純原生系統的情況下用電子市場安裝兩百多應用和遊戲,哪個應用沒有強行叫我Root啊?
所以說,原生系統,才是最棒的體驗。Nexus系列升級後,就基本無憂了。但倒是你無休無止的刷機什麼時候才是到頭啊?是不是?不要說原生系統沒有個性,手機是用來用的,不是用來炫耀的。iPhone是最沒有個性的,但依然不掩蓋它霸佔了世界的主流智能手機的市場。-------------------------------回應@王加冕 對我的質疑----------------------------------
回應你的說法:TOT……
一、額,好吧,適當使用Root是有好處的。這一點我不能不否認。但Root本身在Android系統中已是非法操作,雖然與iOS越獄無異。可以隨心安裝你所需要的應用和修改系統的許可權。簡單說是與是否承認法律是一樣的道理,超越法律,就是超越了手機系統的禁止Root許可權使用。導致系統本應不該有的問題出現誕生。而出的問題誕生通常都有奇奇怪怪的,千奇百怪的問題難倒了大多數的高手,通常高手情況下建議是刷機、刷機、再刷機這樣不負責任的言論。當然,「(1) 你用不到 root,不代表別人用不到;(2) 需要 root 的地方,基本是不 root 不行。」我承認,我自己的事,代表不了別人的說法,但應該可以代表某種特定上的群體吧?雖然只是少少的,但我需要保護他們不被誤導「不Root,你就Out了」的強制灌輸式思想。需要Root的地方,基本都有自己的替代品,並不是耍耍技術手段以顯示自己的技術有多高明。就如你所說的OpenVPN需要Root,而這VPN本身在Android已有集成,只需要提供賬號和密碼即可連接,小心國內的某黨植入木馬耶。備份軟體可通過其它比如豌豆夾之類方式備份並進行完成,這本身也是無需Root。運行腳本也可以通過VPN處理。簡單,容易,方便。超頻這是因為手機性能不行才超的。但目前單核1G、雙核以上級別的手機基本上無需超頻即可玩流暢的手機,至於你的手機Defy800Mhz當然需要超頻,這一點你自己需要承擔手機系統的穩定問題誕生的可能性,畢竟,手機萬一打不通電話、發緊急的簡訊,那超頻的代價會不會有點太大了呢?對於玩家來說,應該不會,但對於需要保證通訊連接的人就不一定了。就不要誤導他們。同樣的我理解品牌系統有多大的悲劇,什麼要刪除系統里的不必要軟體(其實HTC最沒有性價比的。真不知道你們為什麼這麼狂熱喜歡這種麻煩的HTC)中國是一個很神奇的地方,當電腦擺在他們的面前,當360提示各種問題時,他們通常都是直接跳過或關閉或隨便點擊確定就完事。而他們不知道後面所帶來的不穩定的誕生是什麼後果。同樣的,在中國依然還是一個神奇的地方,當Root擺在他們的面前,他們會根據Root的警告來決定么?我想不會,他們會直接點擊授權或其它不懂英文的「授權」來授權未知的應用。難道不會么?如果會,中國早就有最小5~10%使用Linux了。並願意重複輸入密碼便於授權某種需要高許可權的系統。二、我為什麼這樣說「刷機是暴力欺凌手機的另一個借口」,你看看大多數的論壇上頻繁出現的帖子:我刷成磚頭了,我刷出問題了,擦系統又沒修Bug……不知道你有沒有注意到某個角落裡無奈地吶喊:我從此不再刷機了,受不了了。也有一個說:我不刷了,太不穩定了,刷回回來的。他們只需要某種的安全感的穩定,而不是頻繁跳出來:FC。難道不叫「刷機是暴力欺凌手機的另一個借口」?另你這叫品牌系統(親,很抱歉通知你,你誤會了。懂原生系統是什麼意思嗎?),你可以投訴MOTO,說他們的系統很垃圾。當然我知道我這樣的說法很不負責任,因為MOTO壓根不理會你的投訴。(不過佔一定的比例投訴應該會引起他們的關注)既然你不喜歡品牌系統,為何不購買其它如Nexus系列的原生系統呢?當然我還是知道我這樣的說法依然還是不負責任的,Nexus系列出來的只有兩台,但這在大多數的論壇板塊上,問題出現非常少,並不是因為購買的人少,而是因為不知道還有什麼問題可以提出來的,比如說Nexus One板塊很冷門,而兄弟版HTC Desire異常熱門,但我希望你注意:這裡都是提出大多軟體性問題、刷機性問題等等。Nexus系列珍貴,如同iPhone般的一樣,一年一台的推出。卻保護了原生系統的忠誠度。
至於MIUI,各人有自己的愛好和看法。我也明白品牌系統的手機有多少的悲劇,MOTO界面難看之極,三星呆板的界面,索愛酷炫卻不低調(其實這手機的性能很悲劇),HTC的狂熱界面(我的意思是,發燙)等等,不得不被迫選擇MIUI替換了悲劇系統,MIUI和什麼系統還是比較好,雖然改動的界面太大,但依然保護了大量的忠誠悲劇的用戶(就像,保護了中國人的言論和自由的人,會被受歡迎,但如果在美國呢?)要不然也不會有這麼多忠誠者了。但,MIUI可供手機刷機的種類,很少。但其中大部分的可支持的手機都有自己流暢的系統。不涉及的機型只能尋找其它刷機。這樣的話依然暴露了同一個原則:刷機是暴力欺凌手機的另一個借口。三、我想,體驗永遠是最高的。體驗帶來形成的習慣還是比較容易的,突然變換多種的系統我想他們應該不會容易接受的。(我承認,品牌系統真的很難以接受和操控)而CM7可支持的種類機是真的很少,但為什麼支持機型這麼多呢?是因為有其它高手在免費幫助製作Rom的。並聲明來自CM7內核製作之類云云的帖子。但這樣就如上面所說:刷機是暴力欺凌手機的另一個借口。UC瀏覽器需要請求查看聯繫人數據,但這被Google審批通過上架(我明白電子市場沒有審查),說明安全性應該比使用Root過的高。因為他們還是不會注意到Root幹嘛。我我想禁掉「航班管家」的理由是自動扣費吧?但電子市場里的大多都是安全的,極小几率發生不會像你所想的那個:自動扣費。但如果你通過第三方盜版市場和論壇下載就另作一個回事了。Android設計時禁掉了Root,是因為Google考慮到了廣大P民和國際上的人都會有著「自動授權」的習慣。他們應該很清楚,為什麼要禁掉Root的原因。OS本土化這是必然的,沒看人家iOS都為了迎合中國市場推出九宮格輸入法了么。只是大數據時代,個人信息的安全問題確實需要重視,害人之心不可有,防人之心不可無,信息安全問題要從廠家(系統構建,軟體維護),個人(合理使用),政府(與時俱進的完善信息保護法),這幾個方面多管齊下,其實很多國家都做的不錯,手機系統半來源或封閉,政府建立丟失手機資料庫,運營商建立黑名單資料庫,人們可以購買號卡時選擇性的接受一些營銷類信息及電話,之前國內好像還沒有這樣實施
沒有什麼東西是絕對安全的。無論第三方ROM還是原生的ROM,都是有漏洞的。但是對於普通用戶來說相信市場上使用率高的ROM而不是什麼野雞公司出的野雞ROM可能要更安全一些。對於普通用戶來講,少下載一些不明市場的不明應用,或者不知道什麼來源的SDK,更能保證您手機的安全。
最大的實際應用基地—中國
沒有卵用
原裝的安卓也用不習慣了還是第三方ROM用著習慣些
推薦閱讀: