俗話說(shuō)，流氓會(huì)武術(shù)誰(shuí)也攔不住，當(dāng)下眾多的國(guó)產(chǎn)手機(jī)屢屢掀起各種 撕逼大戰(zhàn) ，這在手機(jī)圈似乎已經(jīng)成為一種營(yíng)銷手段，筆者浸淫手機(jī)圈十余年，雖然對(duì)這種營(yíng)銷方式充滿不屑，但發(fā)現(xiàn)這種伎倆對(duì)于消費(fèi)者未必是壞事，其中一些基于事實(shí)又有技術(shù)含量的戰(zhàn)斗環(huán)節(jié)，對(duì)于用戶了解國(guó)產(chǎn)手機(jī)現(xiàn)狀，普及手機(jī)基本知識(shí)還是不錯(cuò)的案例。但是有些挑事的人心眼未必都長(zhǎng)得那么正，筆者遇到有些看不慣的事情還是想拿出來(lái)說(shuō)道說(shuō)道。

如今當(dāng)人們丟手機(jī)以后，第一件想到的事情未必是如何找回手機(jī)，而是如何清除數(shù)據(jù)，因?yàn)楫?dāng)下手機(jī)已經(jīng)承載了用戶太多的財(cái)富信息，全部身家都放在手機(jī)上的用戶絕對(duì)不在少數(shù)。因此，手機(jī)安全自然是用戶越來(lái)越關(guān)心的一個(gè)問(wèn)題，很多手機(jī)廠商開(kāi)始打手機(jī)安全的主意，以蘋果為代表的手機(jī)廠商推出了以指紋識(shí)別為代表的生物識(shí)別技術(shù)，而以酷派為代表的手機(jī)廠商推出了硬件隔離技術(shù)，其技術(shù)手段上屬于物理隔絕，再加上專門的安全芯片在硬件上對(duì)系統(tǒng)進(jìn)行加密，杜絕了被攻擊和非法獲取信息的可能性。在筆者看來(lái)，酷派的硬件隔離技術(shù)在理論上可行，但實(shí)際操作過(guò)程中肯定還要經(jīng)過(guò)數(shù)度磨礪才能成行。但是從上個(gè)月開(kāi)始出現(xiàn)一些關(guān)于酷派安全手機(jī)漏洞的文章，開(kāi)始筆者也并不以為奇，這是酷派在安全手機(jī)研發(fā)過(guò)程中一定會(huì)遇到的問(wèn)題，本屬意料之中。但是看了一些文章以及文章標(biāo)題后，感覺(jué)問(wèn)題沒(méi)有我想象的那么簡(jiǎn)單，什么 酷派遭遇滅頂之災(zāi) 類的文章充斥標(biāo)題，酷派到底遇到了天災(zāi)，還是人禍呢？看了這些文章的技術(shù)分析報(bào)告后，基本能判斷出酷派遇到了人禍，酷派挨板磚了。

事件的起因源于烏云（WooYun）和Palo Alto Networks針對(duì)酷派手機(jī)的安全防護(hù)漏洞分析報(bào)告，以筆者的眼光來(lái)看，報(bào)告本身問(wèn)題不大，但是顯然是被過(guò)度解讀了。

在這次事件中，烏云和Palo Alto Networks一直強(qiáng)調(diào)的 CoolReaper 這個(gè)程序，也叫CP_DMP 程序，該程序?yàn)樵O(shè)備管理服務(wù)程序，全名應(yīng)該叫做Device Management Platform。按照以往的經(jīng)驗(yàn)這個(gè)程序主要功能應(yīng)包括三個(gè)方面，一是對(duì)手機(jī)進(jìn)行保護(hù)，防止第三方軟件惡意卸載系統(tǒng)軟件帶來(lái)系統(tǒng)不穩(wěn)定性，二是作為應(yīng)用商店的服務(wù)程序給用戶提供更及時(shí)和準(zhǔn)確的應(yīng)用軟件下載更新功能，三是作為OTA功能的輔助模塊，對(duì)OTA過(guò)程中可能會(huì)遇到的異常進(jìn)行預(yù)處理，提高OTA成功率。

那么DMP為什么會(huì)被Palo Alto Networks及一些病毒機(jī)構(gòu)認(rèn)定為惡意行為？我認(rèn)為像烏云和Palo Alto Networks這樣的機(jī)構(gòu)更多的是通過(guò)代碼反編譯的方式來(lái)獲取部分代碼進(jìn)行猜測(cè)，用DMP所具備的可能能力看作最終結(jié)果行為。舉個(gè)通俗的例子就是，菜刀能殺人，但你不能簡(jiǎn)單的認(rèn)為它就是兇器？菜刀也能做菜。將DMP程序直接化為病毒程序有失偏頗。

我看酷派安全手機(jī)六宗罪

我不是技術(shù)大拿，但是烏云和Palo Alto Networks針對(duì)CoolReaper 這個(gè)程序提出了六個(gè)方面的危害，我有一些自己的看法：酷派被冤枉的地方我替它喊冤，酷派確實(shí)做錯(cuò)的地方，我們一起來(lái)給它打板子。

危害一： 在未經(jīng)用戶同意或發(fā)出通知的情況下，下載、安裝、激活任意Android應(yīng)用。

我的看法：DMP 具備軟件的下載，安裝，激活功能，這個(gè)是程序本身的能力，其具體過(guò)程為，如果應(yīng)用商店的WI-FI下自動(dòng)升級(jí)功能（通過(guò)開(kāi)關(guān)控制開(kāi)啟或關(guān)閉）開(kāi)啟，檢測(cè)到新版本時(shí)，會(huì)提醒用戶進(jìn)行下載更新版本，用戶確認(rèn)后，會(huì)一鍵進(jìn)行下載安裝，下載安裝完成后，會(huì)提醒用戶選擇確定還是立即激活應(yīng)用體驗(yàn)。

為了提升用戶體驗(yàn)，有些廠商的OS會(huì)支持靜默安裝功能，減少用戶操作步驟，但如果在未經(jīng)用戶同意的情況下進(jìn)行應(yīng)用激活，這是不允許的，這個(gè)情況在我曾經(jīng)測(cè)試過(guò)的酷派手機(jī)上沒(méi)有發(fā)現(xiàn)，包括近期酷派S6、大神系列的多款手機(jī)上也沒(méi)有發(fā)現(xiàn)。

危害二：清除用戶數(shù)據(jù)，卸載現(xiàn)有應(yīng)用以及禁用系統(tǒng)應(yīng)用；

我的看法：首先 清除用戶數(shù)據(jù) 這個(gè)猜測(cè)是有偏差的，我就此專門咨詢了酷派的產(chǎn)品設(shè)計(jì)人員，DMP設(shè)計(jì)此功能的首要目的是針對(duì)酷派自身應(yīng)用軟件，前期有用戶投訴酷派部分應(yīng)用軟件存在長(zhǎng)時(shí)間運(yùn)行后數(shù)據(jù)損壞或異常，無(wú)法正常使用，即使OTA也無(wú)法解決，因此在設(shè)計(jì)DMP時(shí)添加了刪除指定應(yīng)用數(shù)據(jù)的功能，如果用戶出現(xiàn)應(yīng)用數(shù)據(jù)損壞并主動(dòng)申請(qǐng)強(qiáng)行處理時(shí)，能對(duì)該用戶的需求進(jìn)行響應(yīng)。至于DMP 管理服務(wù)程序具備卸載應(yīng)用的功能，在設(shè)計(jì)時(shí)主要考慮是國(guó)內(nèi)手機(jī)從出廠到銷售，中間存在渠道刷機(jī)環(huán)節(jié)，有些渠道為了提升收入，會(huì)在手機(jī)銷售之前刷機(jī)植入軟件，導(dǎo)致手機(jī)存儲(chǔ)空間和內(nèi)存空間被占用，用戶后續(xù)使用手機(jī)時(shí)出現(xiàn)卡頓，更嚴(yán)重的是OTA官方軟件版本會(huì)一直失敗，因此需要提醒用戶卸載不必要、一直不使用的應(yīng)用程序，這部分功能移植到酷管家中了，在DMP中實(shí)際沒(méi)有使用。第三個(gè)禁用系統(tǒng)應(yīng)用功能，手機(jī)廠家應(yīng)用較多，有些用戶希望自己下載第三方應(yīng)用替換原廠應(yīng)用，而原廠應(yīng)用一般是不可刪除和卸載的，只能禁用，因此針對(duì)用戶的需求，DMP提供了禁用系統(tǒng)應(yīng)用功能，設(shè)計(jì)目的是針對(duì)酷派自帶的原廠應(yīng)用。

危害三：通知用戶進(jìn)行偽造OTA升級(jí)，實(shí)際安裝用戶不想要的應(yīng)用

從市場(chǎng)的角度來(lái)說(shuō)，移動(dòng)互聯(lián)網(wǎng)分發(fā)模式賺錢誰(shuí)都清楚，但是只為了幾個(gè)軟件就OTA一下，這樣的處理手段顯得太初級(jí)了。該項(xiàng)功能實(shí)際上是彈框提示用戶升級(jí)酷派官方軟件。大家都知道，手機(jī)在出廠后，由于持續(xù)提升用戶體驗(yàn)，軟件版本經(jīng)常需要更新。傳統(tǒng)的做法，是為了升級(jí)一款A(yù)PP，需要出整體的OTA ROM包進(jìn)行升級(jí)，一方面整機(jī)ROM出版本升級(jí)開(kāi)發(fā)成本較高，時(shí)間周期較長(zhǎng)，而且用戶升級(jí)ROM需要重啟手機(jī)才能完成，用戶體驗(yàn)不好。所以酷派增加了一項(xiàng)新的功能，對(duì)系統(tǒng)APP單獨(dú)進(jìn)行升級(jí)，減少流量消耗，簡(jiǎn)化操作，提高用戶體驗(yàn)。當(dāng)有版本更新時(shí)，會(huì)彈框提示用戶進(jìn)行下載升級(jí)，目前這種做法在智能手機(jī)中普遍應(yīng)用。

危害四：向手機(jī)中發(fā)送或插入任意短信或彩信

酷派的應(yīng)用商店在產(chǎn)品規(guī)劃時(shí)有一項(xiàng)功能，當(dāng)用戶發(fā)現(xiàn)好的應(yīng)用，希望分享給好友時(shí)，能通過(guò)短信分享應(yīng)用商店下載鏈接，邀請(qǐng)好友下載使用，故在DMP中有相關(guān)的短信處理代碼。而我在最終應(yīng)用商店的發(fā)布版本中，并沒(méi)有找到這項(xiàng)功能，該功能應(yīng)該實(shí)際一直處于未啟用狀態(tài)。  

危害五： 撥打任意手機(jī)號(hào)碼

酷派應(yīng)用商店目前有30萬(wàn)以上的APP，用戶在使用過(guò)程中可能存在兼容性問(wèn)題，為了給用戶提供更方便快捷的反饋渠道，酷派在產(chǎn)品設(shè)計(jì)上增加了一項(xiàng)功能，用戶在使用過(guò)程上如果有任何問(wèn)題，可以調(diào)用酷派客服打電話，目的是為了提供給用戶溝通互動(dòng)的渠道。但是，從前面華為榮耀的類似情況看，這種情況很容易會(huì)讓扣費(fèi)軟件找到機(jī)會(huì)，所以還酷派的這項(xiàng)功能顯得多此一舉，提出批評(píng)。

危害六： 向酷派服務(wù)器上傳設(shè)備信息，包括地理位置、應(yīng)用使用、電話、短信等歷史記錄 這其實(shí)是目前手機(jī)行業(yè)的常規(guī)做法，通常用戶在新購(gòu)機(jī)后第一次激活時(shí)，會(huì)有一個(gè)注冊(cè)過(guò)程，將設(shè)備基本的IMEI SN等信息注冊(cè)回來(lái)，用于渠道銷售管理，類似于中國(guó)移動(dòng)的DM，這也是業(yè)界通用做法，目的是為了更好的服務(wù)用戶。另外，在使用軟件時(shí)，會(huì)采集用戶安裝應(yīng)用列表，用于應(yīng)用的更新及升級(jí)，只是用于應(yīng)用更新計(jì)算，并不會(huì)保存，這也是應(yīng)用商店的通用做法。

以上算是筆者針對(duì)目前酷派安全事件逐條進(jìn)行的一個(gè)分析，結(jié)果酷派真是一清二白？沒(méi)有任何的責(zé)任？當(dāng)然不是！例如大家投訴較多的后臺(tái)推送廣告這事，酷派顯然做得有欠缺，雖然是移動(dòng)互聯(lián)網(wǎng)下的一種運(yùn)營(yíng)模式，但是給用戶的體驗(yàn)非常不好，這點(diǎn)希望酷派理應(yīng)吸取教訓(xùn)，在營(yíng)收和用戶體驗(yàn)上找出來(lái)一個(gè)平衡的。但國(guó)產(chǎn)手機(jī)要想良性發(fā)展，繼續(xù)想要超三星趕蘋果的話，這種胡亂拍磚的事情還是盡量少為之，一個(gè)良性的發(fā)展環(huán)境對(duì)于目前的國(guó)產(chǎn)手機(jī)行業(yè)是迫切需要的。