上一篇文章(点这里)讲了如何解决小米应用商店提示”应用程序可能包含病毒”,安装第三方来源应用程序。
在那篇文章中我曾讲过不建议大家用小米应用商店,但是未说明理由。
本篇文章我就讲一下我自己发现的小米系统的两个莫名其妙之处:
1、官方主动屏蔽验机网站,无法验机
2、不知道从哪来的新版应用
1、官方主动屏蔽验机网站,无法验机
不知道有多少人还记得央视曝光小米质量不合格,结果小米反击称央视那是买的山寨货;也不知道有多少人记得国外有曝光小米手机有严重质量问题,结果小米反击称那是买的山寨货。
到现在都成了公认事实了:在实体店买的小米产品……都是假货。
为什么小米的产品这么容易山寨呢?除了性价比产生的超低的价格之外,“纵容甚至鼓励”,我觉得也是一个原因。
传统山寨机的巅峰
以往,想要山寨个诺基亚或者索尼,没有对应cpu,没有对应主板,更大的问题是,没有对应操作系统。S60系统只有官方有,能用于山寨的就只有MTK的处理器和MTK提供的操作系统。所以在以前,根本没有山寨智能机,烂大街的不论是凤凰传奇月亮之上,还是大牌联想,系统都一样,也就界面UI不太一样而已。
安卓智能手机的简易架构
现在的智能机,硬件架构很简单,通用CPU+通用主板+通用摄像头+通用屏幕,自组智能手机的难度就像自组台式兼容PC一样,只要有生产设备,就能做智能手机。
不同以往,自从有了安卓这个操作系统,手机就跟PC很像了,硬件-驱动-系统-软件,不论是啥硬件,只要驱动对了,系统就能跑起来,系统跑起来,那就都是安卓智能机。
所以只要稍微改一改刷机ROM,甚至不用改,就可以直接在山寨机上安装官方操作系统。
官方主动屏蔽验机网站,无法验机
我也亲手摸过小米山寨机,可以说如果不是小米内部的人的话,是无法确认手机是真是假的,所以大众的办法都是找验机软件。
虽说各个第三方验机工具的验机方法,也只是用机器的内部硬件参数,与官方配置参数作对比而已。如果山寨厂家用与官方一模一样的硬件做的话,估计就验不出来了。(这里也不讨论各个厂家在验机上的舞弊行为了)
当然这是理想情况。如果厂家主动屏蔽用户验机呢?
大家都知道,大陆的网络环境很不好,所以有时候验机网站连不上也是正常的……
但是如果永远连接不上呢?
上图是小米平板最新稳定版的刷机ROM文件,V6.5.1.0.KXFCNCD (MIUI 6),打开的文件是hosts。如果了解网络知识的人,应该是知道hosts是用来做什么的。MIUI的开发板也是屏蔽了这些网站。
官方屏蔽了对上述软件的访问,这些网站都包括哪些的?antutu我就不用解释了。我在给大家其他几个网站的内容:
比如最下方的rightware,是做什么软件的呢?
官网主动屏蔽这些用于验机的软件,让用户无法对自己的机器进行验机。
这样一来,即使是山寨机翻新机假货机,刷了小米的系统MIUI的话,也会由于小米主动屏蔽验机网站,而无法验机。
这不就是纵容奸商骗子销售假机器么?
而且刚发现这个问题的时候我发了条微博,结果你猜呢,水军的力量是强大的,即使是凌晨一点半。
(来自微博搜索)
(另外最近发现安兔兔貌似也反向屏蔽小米……这是撕破脸了么……)
2、不知道从哪来的新版应用
之所以不建议大家使用小米应用商店进行应用更新,主要原因,在于:应用作者根本就没更新啊,哪来的新版应用?
上一篇文章讲了如何讲了如何解决小米应用商店提示”应用程序可能包含病毒”,安装第三方来源应用程序,其实我安装第三方应用的原因有两个,第一个就是上次讲到的要安装亚马逊应用商店的专属应用,而第二个原因,就是小米商店的应用,来源不详。
安卓应用程序签名
首先给大家讲一个我臆想出来的安全隐患,当然这个隐患在一般情况下是不存在的,这是我在还不了解安卓应用安装时胡乱想出来的。
比如你的手机中安装了支付宝[正版],同时安装了其他会偷偷在后台跑着的软件(比如某游戏)。当你点开支付宝[正版]要使用的时候,恶意软件检测到你打开了支付宝,这个时候弹一个窗出来,通知你“支付宝已更新,请下载更新”。如果这个弹窗的风格做的和支付宝[正版]弹窗一模一样的话,可能很多用户只要在方便的时候都会选择更新。但是这是恶意软件伪装的更新提示,当然你最后下载下来的apk也就会是伪造的支付宝,这个伪造的支付宝会把正规的支付宝删除,并替换成伪造的支付宝,功能和界面都一样,但是会记录你的账号密码,并在后台传给黑客。
再描述一遍用户得到的体验:打开支付宝-提示更新-更新完成-钱没了……手机也不需要root
而恶意软件你是找不到的,可能就是某个应用平台提供的游戏……
接下来我再告诉你,上述情况是不会发生的,原因是:安卓应用程序有签名
这个签名的一大功能就是:防止其他开发者替换自己安装的应用。也就是说,如果手机已安装开发者A制作的应用a,其他开发者制作的同名软件a,是无法成功安装到这个手机上的,手机会提示安装失败。
想试一下的话,可以在手机上安装一个亚马逊版本的Autodesk SketchBook,再下载一个谷歌版的Autodesk SketchBook的apk安装包试一下。同样是Autodesk SketchBook,但是Autodesk公司专门为两个商店制作了不同版本,证书也不同,所以谷歌版的apk是无法直接覆盖已安装的亚马逊版本的。
有兴趣的可以自行搜索下“安卓应用签名”
(当然,也存在提取证书的技术能伪造签名证书,也存在下载劫持技术,这里就不讨论了。总之大家使用安卓设备的话,尽量在靠谱的应用商店下载应用, 在可靠的网络环境下使用设备)
证书已经不能阻止他了
通过上面的讲解,大概都能了解,恶意软件是无法直接替换掉已安装的正规软件的。
但是如果有系统级别权限(root)呢?
root这个权限,并不是说机器要root之后才会有。系统带的软件,很多都是root权限。而一旦有了root权限,就什么都能做了。
(证书就相当于你的房门钥匙,没有对应的钥匙,就无法进入你的房间替换你房间内的东西。root就相当于你妈,见到妈了你连锁门的权利都没有)
小米应用商店,就是系统应用,有root权限,能够静默安装,也能略过证书系统,直接升级应用。
作者都没更新,哪来的新版本?
最初我也没发现哪里有问题,只以为是因为证书不同所以小米应用商店才报出上面那个截图。但是用到后面我发现了有些不对劲的地方。
发现这个问题是haute这个软件。
这是一个服装颜色搭配的软件,官方有ios版本和gp版本。
官方最后的更新日期是2014年7月6日,最新版本是1.2.9(本文编写日期2015-06-12)
再看小米应用商店的版本:
小米商店更新日期2015年3月25日,最新版本1.2.10(本文编写日期2015-06-12)
所以这就奇怪了啊,为什么Makan Studios官方都没有更新的版本,小米应用商店会有?这个应用是哪来的?
目前为止,我还没有尝试过使用gp下载官方apk安装之后再想办法下载小米应用商店的apk进行安装,因为小米应用商店保存的不是apk,而是其私有的增量安装文件,经过小米应用商店的话会无视安卓的应用签名校验……
所以,这个新版应用到底是哪来的?
所以结论最后的结论我也不说了,大家自行理解吧。
相关文章:解决小米应用商店提示”应用程序可能包含病毒”,安装第三方来源应用程序
(因为这个博客是独立博客,所以我也不怕水军来袭,独立博客还是有好处的233。这文章要是发到新浪博客或者网易博客,估计就得爆掉了233)
13 comments
Skip to comment form ↓
洛城东华
2015 年 6 月 13 日 在 上午 8:50 (UTC 8) Link to this comment
昨天去领导家修电脑,领导问我为什么不用360杀毒,我说我对国产软件有根深蒂固的不信任。
小米抓准了国人最大的弱点:贪便宜还想要好货,而且不一定是用起来好,只要看上去好就行。我周围的亲戚不用三星的已经人手一部小米了,不得不说小米的营销(aka耍猴)能力还是很强的。
庆幸自己的手机是支持安装GMS的大〇品牌(SONY),现在更新应用除了那几个国产(淘宝etc)都会去Google Play Store更新。
大致
2015 年 6 月 15 日 在 上午 10:05 (UTC 8) Link to this comment
我老妈家的长城宽带联不上任何小米官方服务。不知是福是祸,反正是老人家用,我也没去给弄。其实就是对小米的商店不放心。
石樱灯笼
2015 年 6 月 15 日 在 下午 2:18 (UTC 8) Link to this comment
二级运营商一般都会在链路上部署奇怪的设备,屏蔽很多网站,以保证能在低出口带宽情况下卖掉很多
stan
2015 年 6 月 16 日 在 上午 1:26 (UTC 8) Link to this comment
第一次来,首页那个类win8的页面,让我完全不知道点哪里才能进来吐槽
石樱灯笼
2015 年 6 月 16 日 在 上午 10:32 (UTC 8) Link to this comment
那个只是metro刚出来时,跟风做的
方室网志
2015 年 6 月 17 日 在 上午 10:12 (UTC 8) Link to this comment
除了BAT,基本上不碰其他国内的应用了,看了这文章,更是不敢碰了。
在GP上看了Haute更新时间确实是那个日期。
温哥华高中
2015 年 9 月 7 日 在 上午 8:27 (UTC 8) Link to this comment
猫腻太多,防不胜防呀
bookcase
2016 年 1 月 11 日 在 下午 1:29 (UTC 8) Link to this comment
还好gp中国版要出来了
石樱灯笼
2016 年 1 月 11 日 在 下午 5:13 (UTC 8) Link to this comment
并不是很看好google play中国版,传言传了很久了,并没有什么迹象表明谷歌有什么意向。谣言和虚假信息倒是飞得到处都是,连假会议文件都蹦出来了。
夜绫千裕
2016 年 1 月 18 日 在 上午 10:33 (UTC 8) Link to this comment
墙内 , 也就这样吧
石樱灯笼
2016 年 1 月 18 日 在 下午 7:45 (UTC 8) Link to this comment
有墙没墙应该都一样
姜辰
2018 年 1 月 15 日 在 下午 3:25 (UTC 8) Link to this comment
突然翻到你这个,我感觉我下一部手机打算买谷歌亲儿子了。?
石樱灯笼
2018 年 1 月 15 日 在 下午 9:06 (UTC 8) Link to this comment
谷歌亲儿子大缺点就是不能插TF卡,而且谷歌明显这几年没在手机硬件上认真,Pixel的评价明显没有以前的Nexus高。
我的建议是,如果不热衷于刷机的话,还是选索尼比较好,国行还能保修,而且索尼也可以解锁刷机。
其实感觉只要不是买中国特供版,多数手机都还算靠谱。