มีอัพเดตเพิ่มเติมจากทาง Xiaomi ท้ายข่าว
นักวิจัยด้านความมั่นคงปลอดภัยจาก Bluebox เปิดเผยว่าโทรศัพท์มือถือ Xiaomi Mi4 มีมัลแวร์ฝังมาพร้อมเครื่อง และใช้ Android รุ่นดัดแปลงที่มีช่องโหว่จำนวนมาก
มัลแวร์ตัวแรกคือแอพ Yt Service ซึ่งจะรัน service ชื่อ DarthPusher เพื่อทำหน้าที่แสดงโฆษณา แอพนี้จงใจตั้งชื่อแพคเกจเพื่อหลอกให้ผู้ใช้เข้าใจว่าตัวแอพถูกพัฒนาขึ้นมาโดย Google (ชื่อแพคเกจของแอพนี้คือ com.google.hfapservice) มัลแวร์ตัวต่อมาคือแอพ PhoneGuardService (com.egame.tonyCore.feicheng) เป็นโทรจัน และตัวสุดท้ายคือแอพ AppStats (org.zxl.appstats) เป็นมัลแวร์ SMSreg
นอกจากนี้ตัวระบบปฏิบัติการ MIUI ที่ใช้ในมือถือรุ่นนี้ยังเป็น Android รุ่นดัดแปลง (fork) ที่เป็นการเอาโค้ดของ Android เวอร์ชันต่างๆ มายำใส่รวมกันทั้ง KitKat, Jelly Bean และ Android เวอร์ชันก่อนหน้านั้นด้วย ทำให้ตัวระบบปฏิบัติการยังมีช่องโหว่ด้านความมั่นคงปลอดภัยอยู่เป็นจำนวนมากเช่นช่องโหว่ Master Key หรือ Towelroot เป็นต้น รวมถึงตัวอุปกรณ์ยังถูก root และเปิดโหมด USB debugging มาไว้แต่แรกด้วย
ทาง Bluebox ได้ติดต่อ Xiaomi เพื่อขอความชัดเจนในเรื่องนี้แล้ว แต่ไม่ได้รับการตอบสนองใดๆ จึงตัดสินใจเปิดเผยข้อมูลสู่สาธารณะ
update: หลังจากข่าวนี้ออกไป ทาง Xiaomi ได้ติดต่อกลับไปทาง Bluebox ระบุว่ารอม Xiaomi ไม่มีการติดตั้งแอพพลิเคชั่นที่ทาง Bluebox ระบุอย่างแน่นอน และทาง Xiaomi ไม่ได้ขายสินค้าผ่านร้านค้าภายนอก แต่ผ่านร้านออนไลน์และหน้าร้านของเครือข่ายเท่านั้น
ตอนนี้ทาง Xiaomi กำลังตรวจสอบภายในว่าทำไมทาง Bluebox จึงไม่สามารถติดต่อทาง Xiaomi ได้จนกระทั่งเปิดเผยรายงานนี้ออกมา
ทาง Bluebox ยังคงยกประเด็นว่าโทรศัพท์ของ Xiaomi สามารถดัดแปลงได้ง่าย หากร้านค้าทั่วไปสามารถดัดแปลงได้ ก็สามารถดัดแปลงระหว่างขนส่งได้เช่นกัน นอกจากนี้แอพพลิเคชั่นตรวจสอบของแท้ของทาง Xaiomi ก็ไม่แจ้งเตือนลูกค้าว่ารอมถูกดัดแปลง
Comments
ดีนะที่ไม่ซื้อมา
Hugo Barra ตอบแล้วครับ ว่า rom ของ xiaomi ไม่เคย root หรือติดตั้ง software ดังกล่าว
คาดว่าอาจซื้อเครื่องที่โดนทำมาจากแม่ค้าในจีน ... และแนะนำให้ซื้อจากเวปไซต์หรือเครือข่ายมือถือบางเจ้า
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
ขอ Link ด้วยครับ
ในลิงค์ข่าว Bluebox มีครับ
ไม่เคยไว้ใจของจีนครับ จะใช้มันก็ต่อเมื่อมันใจว่าเอาไว้ทำอะไรที่มันไร้สาระจริงๆ
ไม่เคยไว้ใจของจีนงั้นหรอครับ แล้วอย่างพวก oppo lenovo vivo Huawei พวกนี้ละ พวกนี้ก็ของจริงหมด แล้วถ้าอย่างของที่ผลิตในจีนอย่าง apple ละ ไว้ใจหรือป่าว
เล่นเอาซะไม่อยากใช้เลย
ไม่มีลายเซ็น
ข้อมูลจากเครื่องของผมนะครับ ไม่พบรายการ App/Service ตามที่บทความบอกครับ
MI4 LTEStock rom MIUI V6 (6.3.3.0)
com.google.hfapservice ?? http://upic.me/i/2c/screenshot_2015-03-07-10-21-36.png
AppStats ?? http://upic.me/i/9d/screenshot_2015-03-07-10-20-59.png
org.zxl.appstats ?? http://upic.me/i/a6/screenshot_2015-03-07-10-22-35.png
ผ่างงงงงงงง (เสียงแบบ Inception)
หมี่กำลังมาแรง สงสัยปล่อยข่าวขัดขานิดขัดแข่งหน่อย
มีญาติมี Mi3 อยู่ ต้องเช็คบ้างละ
ล่าสุด Xiaomi เขาตอบกลับ Bluebox มาแล้วนี่ครับ
ใครใช้อยู่ช่วยยืนยันข่าวโดยการตรวจสอบเครื่องตัวเองด้วยทีครับ แบบที่คุณ go-kung ทำคืออยากใช้อยู่นะรอรุ่น 64บิทอยู่แต่เจอข่าวนี้ชักเริ่มไม่มั่นใจ
Update: March 6, 2015Adam Ely, Co-Founder & CSO
After our research was published, Xiaomi’s PR team and Hugo Barra, VP International, contacted us. Below is the relevant part of their response.
“We are certain the device that Bluebox tested is not using a standard MIUI ROM, as our factory ROM and OTA ROM builds are never rooted and we don’t pre-install services such as YT Service, PhoneGuardService, AppStats etc. Bluebox could have purchased a phone that has been tampered with, as they bought it via a physical retailer in China. Xiaomi does not sell phones via third-party retailers in China, only via our official online channels and selected carrier stores.” - Hugo Barra, VP International
ถ้าเป็นจริงตามที่ Hugo Barra บอก งานนี้ Bluebox หน้าแหกเล็กน้อยถึงปานกลาง ความยาวของรอยแตก 1 ถึง 2 คืบครับ
ดูจากที่สมาชิกเรากล่าวไว้คาดว่า กล่องน้ำเงิน น่าจะหน้าแหกครับ เพราะดูตรงกับคำแถลงมากกว่าครับ
ใช้อยู่และไม่มี service เหล่านั้นแน่นอนครับ ทั้ง ROM แท้จากจีน และ international ROM ที่ xiaomi.eu
ใช้ Mi3 ครับ ไม่เจอ service พวกนั้นเหมือนกัน
~ HudchewMan's Station & @HudchewMan ~
รอ Xiaomi แถ-ลง ครับ
ว่าจะว่ายังไง
Hugo Barra ตอบว่า rom ของ xiaomi ไม่เคย root หรือติดตั้ง software ดังกล่าว คาดว่าอาจซื้อเครื่องที่โดนทำมาจากแม่ค้าในจีน
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
ก็ชี้แจงไปแล้วไงครับ ได้เห็นคอมเมนต์นี้มั้ยครับ https://www.blognone.com/node/66415#comment-797111
ที่ xiaomi ออกมาชี้แจง ผมว่าฟังขึ้นเลยนะ มันดูมีเหตุผลและตรงกับความเป็นจริง
งานนี้อาจจะต้องรอดูฝ่าย Bluebox มาแถ-ลงแทนแล้วล่ะครับ
จ๊ะ
เกรงว่าจะเป็น Bluebox แถ-ลงแทนนี่สิครับ
Mi4 ของผมไม่มีรายการ App/Service ตามที่ Bluebox กล่าวอ้างเลยครับ
ใช้ Mi4 อยู่ ไม่เห็นแอพนี้รันในเครื่องเลย ผมลงรอมแท้ของ Mi รุ่น International Developer ครับ (รุ่นที่ดีกว่า Android ทุกค่ายเพราะมีอัพเดตลูกเล่นใหม่ทุกสัปดาห์นั่นล่ะ)
คิดว่าที่เจอน่าจะเป็นพวกที่พ่อค้าแม่ค้าที่คิดไม่ซื่อลงรอมรุ่นอันตรายให้ กับไปลงรอมมั่วเป็นรอมที่ไม่ได้มาจาก Mi เอง
ปล.กระแส Mi แรงขึ้นเรื่อยๆ Bluebox อาจรับเงินจากค่ายใหญ่เพื่อขัดขา Mi มากกว่า
ตกลง bluebox ไปสอย Xiaomi Mi4 ปลอมมาตรวจสินะ?
Hugo Barra เดาว่า
Bluebox could have purchased a phone that has been tampered with, as they bought it via a physical retailer in China. Xiaomi does not sell phones via third-party retailers in China, only via our official online channels and selected carrier stores
แปลสั้นๆ : Bluebox อาจจะซื้อเครื่องที่แม่ค้าเอาไป root ลง app พวกนี้
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
ทำไปทำมางานเข้า bluebox เฉยเลย ... >_<
เท่าที่ผมดูและสอบถามจากคนใช้จริงใน miui.in.th เนี่ย ยังไม่มีใครเจอนะครับ และเชื่อว่าต้นทางลงรอมโมมาครับ ไม่ใช่ original