«

»

Jun 12 2015

小心使用小米系统,因为,这个系统很奇怪

上一篇文章(点这里)讲了如何解决小米应用商店提示”应用程序可能包含病毒”,安装第三方来源应用程序。小米平板稳定版ROM V6.5.1.0.KXFCNCD 及其Hosts文件

在那篇文章中我曾讲过不建议大家用小米应用商店,但是未说明理由。

本篇文章我就讲一下我自己发现的小米系统的两个莫名其妙之处:

1、官方主动屏蔽验机网站,无法验机

2、不知道从哪来的新版应用

 

1、官方主动屏蔽验机网站,无法验机

不知道有多少人还记得央视曝光小米质量不合格,结果小米反击称央视那是买的山寨货;也不知道有多少人记得国外有曝光小米手机有严重质量问题,结果小米反击称那是买的山寨货。

到现在都成了公认事实了:在实体店买的小米产品……都是假货。

为什么小米的产品这么容易山寨呢?除了性价比产生的超低的价格之外,“纵容甚至鼓励”,我觉得也是一个原因。

 

传统山寨机的巅峰

以往,想要山寨个诺基亚或者索尼,没有对应cpu,没有对应主板,更大的问题是,没有对应操作系统。S60系统只有官方有,能用于山寨的就只有MTK的处理器和MTK提供的操作系统。所以在以前,根本没有山寨智能机,烂大街的不论是凤凰传奇月亮之上,还是大牌联想,系统都一样,也就界面UI不太一样而已。

联想i758

联想i758,联想出品的非智能机,MTK架构。
反应慢,按键僵硬,和山寨机没什么区别。

 

安卓智能手机的简易架构

现在的智能机,硬件架构很简单,通用CPU+通用主板+通用摄像头+通用屏幕,自组智能手机的难度就像自组台式兼容PC一样,只要有生产设备,就能做智能手机。

不同以往,自从有了安卓这个操作系统,手机就跟PC很像了,硬件-驱动-系统-软件,不论是啥硬件,只要驱动对了,系统就能跑起来,系统跑起来,那就都是安卓智能机。

所以只要稍微改一改刷机ROM,甚至不用改,就可以直接在山寨机上安装官方操作系统。

官方主动屏蔽验机网站,无法验机

我也亲手摸过小米山寨机,可以说如果不是小米内部的人的话,是无法确认手机是真是假的,所以大众的办法都是找验机软件。

antutu

安兔兔验机
(此验机结果是我刷过自己手动修改了的rom的平板)

虽说各个第三方验机工具的验机方法,也只是用机器的内部硬件参数,与官方配置参数作对比而已。如果山寨厂家用与官方一模一样的硬件做的话,估计就验不出来了。(这里也不讨论各个厂家在验机上的舞弊行为了)

当然这是理想情况。如果厂家主动屏蔽用户验机呢?

大家都知道,大陆的网络环境很不好,所以有时候验机网站连不上也是正常的……

但是如果永远连接不上呢?

V6.5.1.0.KXFCNCD (MIUI 6)

小米平板稳定版ROM V6.5.1.0.KXFCNCD 及其Hosts文件

上图是小米平板最新稳定版的刷机ROM文件,V6.5.1.0.KXFCNCD (MIUI 6),打开的文件是hosts。如果了解网络知识的人,应该是知道hosts是用来做什么的。MIUI的开发板也是屏蔽了这些网站。

官方屏蔽了对上述软件的访问,这些网站都包括哪些的?antutu我就不用解释了。我在给大家其他几个网站的内容:

比如最下方的rightware,是做什么软件的呢?

rightware

Basemark X

官网主动屏蔽这些用于验机的软件,让用户无法对自己的机器进行验机。

这样一来,即使是山寨机翻新机假货机,刷了小米的系统MIUI的话,也会由于小米主动屏蔽验机网站,而无法验机。

这不就是纵容奸商骗子销售假机器么?

而且刚发现这个问题的时候我发了条微博,结果你猜呢,水军的力量是强大的,即使是凌晨一点半。

新浪微博

(来自微博搜索)

 

(另外最近发现安兔兔貌似也反向屏蔽小米……这是撕破脸了么……)

 

2、不知道从哪来的新版应用

之所以不建议大家使用小米应用商店进行应用更新,主要原因,在于:应用作者根本就没更新啊,哪来的新版应用?

上一篇文章讲了如何讲了如何解决小米应用商店提示”应用程序可能包含病毒”,安装第三方来源应用程序,其实我安装第三方应用的原因有两个,第一个就是上次讲到的要安装亚马逊应用商店的专属应用,而第二个原因,就是小米商店的应用,来源不详

安卓应用程序签名

首先给大家讲一个我臆想出来的安全隐患,当然这个隐患在一般情况下是不存在的,这是我在还不了解安卓应用安装时胡乱想出来的。

比如你的手机中安装了支付宝[正版],同时安装了其他会偷偷在后台跑着的软件(比如某游戏)。当你点开支付宝[正版]要使用的时候,恶意软件检测到你打开了支付宝,这个时候弹一个窗出来,通知你“支付宝已更新,请下载更新”。如果这个弹窗的风格做的和支付宝[正版]弹窗一模一样的话,可能很多用户只要在方便的时候都会选择更新。但是这是恶意软件伪装的更新提示,当然你最后下载下来的apk也就会是伪造的支付宝,这个伪造的支付宝会把正规的支付宝删除,并替换成伪造的支付宝,功能和界面都一样,但是会记录你的账号密码,并在后台传给黑客。

再描述一遍用户得到的体验:打开支付宝-提示更新-更新完成-钱没了……手机也不需要root

而恶意软件你是找不到的,可能就是某个应用平台提供的游戏……

接下来我再告诉你,上述情况是不会发生的,原因是:安卓应用程序有签名

这个签名的一大功能就是:防止其他开发者替换自己安装的应用。也就是说,如果手机已安装开发者A制作的应用a,其他开发者制作的同名软件a,是无法成功安装到这个手机上的,手机会提示安装失败。

想试一下的话,可以在手机上安装一个亚马逊版本的Autodesk SketchBook,再下载一个谷歌版的Autodesk SketchBook的apk安装包试一下。同样是Autodesk SketchBook,但是Autodesk公司专门为两个商店制作了不同版本,证书也不同,所以谷歌版的apk是无法直接覆盖已安装的亚马逊版本的。

有兴趣的可以自行搜索下“安卓应用签名”

(当然,也存在提取证书的技术能伪造签名证书,也存在下载劫持技术,这里就不讨论了。总之大家使用安卓设备的话,尽量在靠谱的应用商店下载应用, 在可靠的网络环境下使用设备)

证书已经不能阻止他了

通过上面的讲解,大概都能了解,恶意软件是无法直接替换掉已安装的正规软件的。

但是如果有系统级别权限(root)呢?

root这个权限,并不是说机器要root之后才会有。系统带的软件,很多都是root权限。而一旦有了root权限,就什么都能做了。

(证书就相当于你的房门钥匙,没有对应的钥匙,就无法进入你的房间替换你房间内的东西。root就相当于你妈,见到妈了你连锁门的权利都没有)

小米应用商店

中文小米应用商店提示版本不兼容,英文版则会提示签名不符。

小米应用商店,就是系统应用,有root权限,能够静默安装,也能略过证书系统,直接升级应用。

作者都没更新,哪来的新版本?

最初我也没发现哪里有问题,只以为是因为证书不同所以小米应用商店才报出上面那个截图。但是用到后面我发现了有些不对劲的地方。

发现这个问题是haute这个软件。

haute

haute官网

这是一个服装颜色搭配的软件,官方有ios版本和gp版本。

haute at google play

Google Play上的Haute

Google Play上的Haute版本信息

Google Play上的Haute版本信息

官方最后的更新日期是2014年7月6日,最新版本是1.2.9(本文编写日期2015-06-12)

再看小米应用商店的版本:

小米应用商店上的Haute版本信息

小米应用商店上的Haute版本信息

小米商店更新日期2015年3月25日,最新版本1.2.10(本文编写日期2015-06-12)

所以这就奇怪了啊,为什么Makan Studios官方都没有更新的版本,小米应用商店会有?这个应用是哪来的?

目前为止,我还没有尝试过使用gp下载官方apk安装之后再想办法下载小米应用商店的apk进行安装,因为小米应用商店保存的不是apk,而是其私有的增量安装文件,经过小米应用商店的话会无视安卓的应用签名校验……

所以,这个新版应用到底是哪来的?

 

 

 

所以结论最后的结论我也不说了,大家自行理解吧。

相关文章:解决小米应用商店提示”应用程序可能包含病毒”,安装第三方来源应用程序

(因为这个博客是独立博客,所以我也不怕水军来袭,独立博客还是有好处的233。这文章要是发到新浪博客或者网易博客,估计就得爆掉了233)

13 comments

Skip to comment form

  1. 洛城东华

    昨天去领导家修电脑,领导问我为什么不用360杀毒,我说我对国产软件有根深蒂固的不信任。
    小米抓准了国人最大的弱点:贪便宜还想要好货,而且不一定是用起来好,只要看上去好就行。我周围的亲戚不用三星的已经人手一部小米了,不得不说小米的营销(aka耍猴)能力还是很强的。
    庆幸自己的手机是支持安装GMS的大〇品牌(SONY),现在更新应用除了那几个国产(淘宝etc)都会去Google Play Store更新。

  2. 大致

    我老妈家的长城宽带联不上任何小米官方服务。不知是福是祸,反正是老人家用,我也没去给弄。其实就是对小米的商店不放心。

    1. 石樱灯笼

      二级运营商一般都会在链路上部署奇怪的设备,屏蔽很多网站,以保证能在低出口带宽情况下卖掉很多

  3. stan

    第一次来,首页那个类win8的页面,让我完全不知道点哪里才能进来吐槽

    1. 石樱灯笼

      那个只是metro刚出来时,跟风做的

  4. 方室网志

    除了BAT,基本上不碰其他国内的应用了,看了这文章,更是不敢碰了。
    在GP上看了Haute更新时间确实是那个日期。

  5. 温哥华高中

    猫腻太多,防不胜防呀

  6. bookcase

    还好gp中国版要出来了

    1. 石樱灯笼

      并不是很看好google play中国版,传言传了很久了,并没有什么迹象表明谷歌有什么意向。谣言和虚假信息倒是飞得到处都是,连假会议文件都蹦出来了。

  7. 夜绫千裕

    墙内 , 也就这样吧

    1. 石樱灯笼

      有墙没墙应该都一样

  8. 姜辰

    突然翻到你这个,我感觉我下一部手机打算买谷歌亲儿子了。?

    1. 石樱灯笼

      谷歌亲儿子大缺点就是不能插TF卡,而且谷歌明显这几年没在手机硬件上认真,Pixel的评价明显没有以前的Nexus高。
      我的建议是,如果不热衷于刷机的话,还是选索尼比较好,国行还能保修,而且索尼也可以解锁刷机。
      其实感觉只要不是买中国特供版,多数手机都还算靠谱。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据