近日不少媒体报道了中兴手机在海外被检测出恶意软件，到底是怎么回事呢？经过笔者仔细查看相应媒体的文章和第三方评论，发现事实虽然存在，但却有放大之嫌。

　　综合来看，中兴的平板卷入的这个其实就是我们中国大陆常见的手机广告问题。由于海外市场，政府实行严厉监管，谷歌对自己的系统的厂商恶意行为也实行严厉惩罚，但是这是在海外市场，重要的事情说三篇、海外 海外 海外。这次中兴卷入的事件或许是一个大意。

　　大家可以想一下，那些采用Android系统被厂商定制的电视，开机就出现的广告，安装第三方应用被禁止，都是国内厂商干的好事。至于手机在6.18、12.12疯狂弹出的流氓广告莫不是采用了厂商特制的“广告服务”，既然你买了我的电视、手机、平板，让你看看广告就是我的权利了。

　　设置发展到应用厂商，类似的捆绑和全家桶也是普遍到正常的行为。而这些在海外市场都是被认为流氓的行为。所以苹果在审理应用的时候是禁止厂商采用这种内藏广告以及全家桶安装唤醒的。中国应用厂商在海外版本大多也阉割了流氓程序。

　　很遗憾的是，中兴这次在海外卷入的恶意广告软件，只是一个意外。实际上，在中国的Android设备的流氓级别上，中兴绝对是良心企业，那些开机就弹30秒广告的电视，自己手机从充电到桌面都不放过弹广告的厂商才堪称流氓天尊。不过中国用户已经习惯享受免费或低价互联网服务的时候的广告骚扰，舆论也基本免疫。只是在海外才被安全厂商大惊小怪。


　　下面我们来看美国媒体和海外第三方媒体的报道。

　　美国IT媒体AndroidAuthority报道，著名安全机构avast发布报告称，发现，中兴、爱可视、MyPhone等厂商的多款安卓手机系统固件被安装了恶意广告软件。这款被称为“Cosiloon”的恶意软件被预装在数百款不同型号和版本的安卓设备上，其中包括由中兴（ZTE）和爱可视（ARCHOS）Prestigio MyPhone等。

　　在用户使用浏览器上网的时候，在网页上方覆盖显示一个广告。预装在手机的固件层面，对于普通用户来说几乎不可能将其完全清除。

　　cosiloon的广告软件在俄罗斯防病毒供应商Dr.Web于2016年12月份发现并通报。

　　cosiloon有效地在用户的浏览器和主页上创建了不断弹出的广告，在这个过程中原网页内容会变暗，用户只有被迫点击关闭广告才能继续浏览。

　　那么，它是如何工作的呢？

　　Cosiloon由两个组件组成，称为dropper和payload。dropper负责启动叠加层，送至设备上，payload负责将信息显示给用户。

　　这个dropper组件被固化在手机系统固件中，他被作为一个系统应用程序，仅在系统应用程序列表中可见。因此这些dropper和衍生程序“几乎不可能”删除，因为它实际上已经集成到了系统apk中，而系统apk是安卓系统的关键系统包之一。

　　payload组件则是被运用这个恶意软件的主人（手机厂商自己？方案提供商？第三方ROM制作者？）自己定义的广告展示组件，目前已经发现超过100个不同的payload组件，为了避免用户发现，这个广告组件，使用了“goolge联系人”这样的类似系统自带功能的名称以防止用户发现手机自带恶意软件。绝大多数的payload组件可以在系统应用程序列表中可见，使用的名称有“evideo2服务”、“mediasvice”和“vplayer”等等。
　　受影响的是谁？

　　这家安全公司的统计数据显示，90多个国家的用户都受到了广告软件的影响。排名靠前的国家包括俄罗斯、意大利、德国、英国、乌克兰、葡萄牙、委内瑞拉、希腊、法国、罗马尼亚和美国。

　　至于受影响的设备？

　　目前发现均采用联发科(Mediatek)芯片组，而且基本上都是低成本的平板电脑。受影响的制造商包括Archos, Condor, Haier（海尔）, MyPhone, Prestigio, Telefunken, ZTE（中兴）。详细的清单附后。

　　目前已经发现1.8万用户报告受害，而恶意软件感染了100万用户，受影响设备的列表是如此广泛，因为广告软件是一个固件的一部分，就是说使用该设备就会受害。受影响的平台是运行安卓4.2到安卓6.0。

　　Avast实验室就这一发现与Google进行了联系，后者对问题进行了肯定，并已经采取措施，利用谷歌发病毒技术对展示广告的程序进行清除。

　　但是谷歌清除的是采用原生Android系统的设备，而以上设备很多是厂商自行定制，谷歌无法通过反病毒程序和更新系统的来解决问题。这些非原生系统的恶意软件随固件一起被预装，因此问题很难被彻底解决。Google表示他们已经与这些固件厂商联系，让他们意识到这个问题，希望他们解决问题。

　　在部分设备，用户可以手工禁用服务的方式来禁止这个广告服务，方法是 ( 设置> 应用 > 查看系统应用 ), 寻找 “CrashService”, “ImeMess” 或者 “Terminal”. 停用服务。

本文地址:http://www.cnonline.org/2018/article/12186.html