小米成为世界头号手机品牌，超过三星、苹果

据 Counterpoint 刚刚发布的数据显示，小米在 2021 年 6 月超过了三星和苹果，首次成为全球第一大智能手机品牌。小米的份额不低于 17.1%，其次是三星，占 15.7%。苹果以 14.3% 的份额位居第三。2021 年 6 月，小米的销售额月增长达 26%，成为该月增长最快的品牌。自 10 年前在这个市场上首次亮相以来，小米已经出货了近 8 亿部智能手机。Counterpoint 称，华为的衰落帮助小米取得了如此大的增长。它一直在华为和荣耀的传统市场，如中国、欧洲、中东和非洲进行扩张。

华为未竟的目标，竟然由小米达成了。

Chrome 将禁用跨源框架内的 alert() 和 confirm()

Chrome 工程团队称，该团队正在禁用跨源框架内的 alert()，以保护用户不被骗子欺骗。但此举将带来的破坏性变化引发了争议。人们认为，这样一个重大的突破性变化是在没有对此事进行广泛讨论的情况下发生的。比如这会影响编程教程和 Javascript 学习网站，这些网站在跨源框架中对用户提供的代码进行沙盒处理。但是谷歌的工程师们对此不以为然，他们说，“Web 上经常发生破坏性的变化，作为一个开发者，针对主要浏览器的早期发布渠道进行测试是很好的做法，可以提前了解任何兼容性问题。”

作为一个垄断了浏览器份额的厂商，确实“有资格”为所欲为啊。

使用由三个随机单词组成的密码的原因

早在 2016 年，英国国家网络安全中心（NCSC）就指导人们在网上注册时选择三个随机词的组合作为密码，而不是想出或重复使用一个复杂的密码。NCSC 认为，大多数网站都强制要求使用复杂的密码，通常包括多个字符和符号的组合。这使恶意行为者的工作更加容易，因为他们可以利用这些规则和现有密码模式的知识来优化暴力攻击。这也意味着人们在多个网站上重复使用相同的密码或其变体，因为创建和记住众多复杂的密码是很乏味的。NCSC 说，使用三个随机词的组合的好处是：密码的长度增加，易于理解的标准，新颖性，以及它的实用性。虽然当前也有猜测三个随机词的搜索算法，但是这种密码方式并不主流，因此具有更好的保护能力。

听起来确实有一定的道理。不过终极解决方案，还是不要使用密码。

[更新] 文末补充了小米公司的申明。

你是否拥有一台小米，HTC，三星或者是一加的 Android 手机呢？

如果回答是肯定的，那么你应该意识到，几乎所有的智能手机厂商提供的定制 ROM，如 CyanogenMod、Paranoid Android、 MIUI 或者一些其它的 ROM 都带有预装主题和用来提高设备的性能的应用。

但是，对于这些设备制造商预装的程序和服务，你是否多有考虑呢？它们的目的是什么，它们是否会对个人的安全或者是隐私构成威胁。

出于这些问题答案的好奇心，一位来自荷兰的计算机专业的学生，同时也是一位安全爱好者，他拥有一台小米 4 智能手机，
正着手调查一个名为 “AnalyticsCore.apk” 的神秘预装程序。它 7 * 24 小时不间断的在后台运行，即使你删除它了还会重新出现！

小米是世界上最大的智能手机制造商之一，此前一直被批评为传播恶意软件，（它）发售预装了间谍软件/广告软件和 Android 操作系统的分支版本的手机，在没有经过用户同意的情况下，从设备中秘密窃取用户的数据。

小米能够在你的设备上静默安装任何应用

在向该厂商的支持论坛询问 AnalyticsCore 的目的无果之后， Thijs Broenink 开始着手逆向此应用的代码，发现这个应用每隔 24 小时，都会从公司的服务器检查是否有该程序的更新。

在这些查询请求里，该应用将会发送设备的识别信息，包括手机的 IMEI、型号、MAC 地址、随机数、软件包名称及其签名。

如果在服务器上检测到名为 “Analytics.apk” 软件有更新的版本，它将会在后台自动的开始下载，然后安装，这一切都发生在用户不知情的情况下。

“我无法在 Analytics 中找到任何证据，所以我猜测应该有权限更高的小米应用在后台进行安装。”Broenink 在他的博客中如是说。

当前的问题是，你的设备如何验证此 APK 的正确性，以确保它真的是一个 “Analytics” 程序呢。

Broenink 发现，手机端根本没有进行任何的检查就将此程序安装到用户的手机中，这也就意味着黑客有利用此漏洞的可能。

这也就意味着小米能够远程静默的将任何程序在服务器端重命名为“Analytics.apk”后安装到用户的手机。

“所以看起来小米可以在 24 小时内把他们想要静默安装的任何（签名的？）程序包替换到你的手机上。我无法确定这个应用程序安装器什么时候被调用。但是我猜测，要是将自己的程序重命名为 Analytics.apk 后放置在正确的目录下，然后等着就会被安装了。”Broenink 说。

黑客也能利用此后门

研究人员无论是在该公司网站还是 Google 找了许久都没有发现 AnalyticsCore 程序的实际目的。很难说小米为什么在数百万的设备上放置这个神秘的“后门”。

正如我以前说过的：没有一个后门是只有他的创造者才能访问的。

所以，黑客或者是情报机构，是不是可以利用小米的这一后门在 24 小时内将恶意软件推送到数百万的设备上呢？！

更加讽刺的是，整个过程采用 HTTP 连接，也就是说它很容易受到中间人攻击。

“这听起来是一个致命的漏洞，因为它们拥有我的 IMEI 和设备的型号，它们可以专门为我的设备安装任何 APK。”Broenink 说。

即使在小米论坛，也有很多的用户对此神秘的 APK 及其目的表示疑虑。

“根本不知道这货的目的，就算是删除了它，一段时间后，它又出现了。”一位网友说道。

另一个用户表示，“如果查看电池用量程序，你会发现这货总是在最上面，鬼知道它吃了我多少电量。”

如何阻止它秘密安装呢？作为一个临时的解决方案，小米用户可以安装一个防火墙应用，然后在其中屏蔽所有小米相关域名的网络连接。

截至目前，在公司论坛上还没有小米团队的成员对 Broenink 提出的问题表示回应。我们将会持续关注此事件。

同时，如果你是小米的用户，如果在使用过程中有神秘奇怪的事情，在下方评论，以让我们知道。

来自小米的官方申明

一位小米的发言人联系到了最初发表本文的 The Hacker News，按 Thijs Broenink 的要求给出了一份官方声明，解释了关于该后门可以让黑客及小米自己在数以百万计的受影响设备上隐秘地安装任意应用的情况，声明说到：

“AnalyticsCore 是一个内置的 MIUI 系统部件，其用途是数据分析，以帮助改善用户体验，比如 MIUI 错误分析。”

虽然该公司并没有对在无需干预的情况下就能够在你的设备上自动地后台安装任何应用表示否认或发表评论，不过该发言人澄清说黑客不能够利用这个“自升级”功能。

“出于安全考虑，MIUI 会在安装或升级过程中检查 Analytics.apk 的签名，只有该 APK 来自官方并正确签名才会安装。”发言人补充道。

“任何没有官方签名的 APK 都不能安装。因为 AnalyticsCore 是确保更佳的用户体验的关键，它支持自升级功能。从发布于 4 月/ 5 月的 MIUI V7.3 开始，会启用 HTTPS 用于以后的安全数据传输，以防止任何中间人攻击。”

我们将会进一步接触小米了解其无需用户干预自动安装应用的能力。