天貓魔盒直接刪除用戶第三方軟件是因為Yun OS存在后門嗎？

深知自己不討喜 · 發(fā)表于 2018-11-26 09:46

我在網(wǎng)上看貌似很多人天貓魔盒并沒有被升級，直接就把第三方軟件給刪除了（如果網(wǎng)站上人瞎說的就無視問題的真實性吧）假設(shè)這是真的，阿里方面需要如何進行刪除操作，難道不是通過后門進入用戶系統(tǒng)操作嗎？（小白有疑問，若錯了，請輕噴） ------------------- 可能上面的描述會造成誤解，如果阿里那邊是推送更新，只不過沒有變動版本號，讓很多人誤認為沒有更新，那這應該也算正常操作吧？

-Dove · 發(fā)表于 2018-11-26 09:46

不必說這肯定就是后門，要知道就連蘋果都不會直接移除已下架App，只是不讓你再次安裝而已，話說YunOS有必要這么積極的響應廣電嗎？廣電好像也只是說新出廠的盒子如何如何沒有要求廠商們移除已售盒子里的現(xiàn)有應用吧？難道YunOS要和廣電深度合作一起搞TVOS？

推薦一個答案：如何看待阿里云 OS 封殺直播軟件? - 萬戶侯的回答
感覺最近國內(nèi)廠商最近頻頻作死，小米MIUI瘋狂推送，百度賣貼吧賣節(jié)操，阿里的YunOS也是不務(wù)正業(yè)，就不能還消費者一個清靜，想想其他賺錢方法嗎？
果然還是沒有競爭的情況下就會開始作死？真希望有國外或國內(nèi)其他挑戰(zhàn)者出現(xiàn)，這些大企業(yè)只有面臨威脅的時候，他們的神經(jīng)網(wǎng)絡(luò)才會開始工作，聆聽消費者的需求。

來一瓶爽歪歪 · 發(fā)表于 2018-11-26 09:46

關(guān)于OTA
OTA，即Over-the-Air，在安卓中意思是官方發(fā)布升級包，給系統(tǒng)推送補丁或者更新。評論中有人說阿里云通過推送OTA，添加或者刪除應用的。他說的可能對，或許是通過OTA進行的，也就是我說的第2種（最后一種）情況。
OTA這一說，一下子就讓大家感覺，你看Nexus，三星也不是一樣有OTA么？都是一樣的性質(zhì)。

不一樣?。?！

你見過nexus，三星，蘋果等不經(jīng)用戶同意強制OTA的么？如果能強制OTA，這就意味著遠程拿到了你手機root權(quán)限，刪改用戶數(shù)據(jù)，更加隨意。

通常情況下，OTA的腳本是可以看到的，做了什么事情也是可以知道的。不知道阿里云的OTA能否看到，寫的什么，如果有大神可以來解剖解剖。

下面還有人說：
“自己的系統(tǒng)，自動擁有root，有什么奇怪的？”

開發(fā)商：自己的樓盤，自動擁有你家的鑰匙，有什么奇怪的？

相機廠商：自己的相機，自動獲得你拍的照片，有什么奇怪的？

我不多舉例了，“自動”一詞用的真棒！

請大家按此邏輯，從汽車制造商，邪惡的內(nèi)衣廠商，快遞公司，硬盤廠商，路由器廠商的角度自行腦補，僅供娛樂。

————————下面是正文————————

此門，細思極恐。

為了避免不必要的爭論，我先做假設(shè)云os根目錄結(jié)構(gòu)和Android一樣，并且是在非root情況下討論。

用戶的應用是安裝在/data/app下的，此目錄用戶是無法直接訪問和修改的。只能通過高權(quán)限的app，如安裝包管理器才能管理已安裝應用，通常情況下，用戶必須點同意才能安裝或者卸載程序。

據(jù)我所知，繞過了安裝包管理器及用戶的確認，只有以下3種情況才能刪除用戶已安裝應用
第0種、/system下有個高權(quán)限app被阿里遠程控制，替代安裝包管理器，并且權(quán)限至少要有1000 system及以上權(quán)限。

第1種、通過adb調(diào)試，連接電腦，要求用戶開啟adb并信任該電腦指紋才能。（很顯然，阿里云不是這種手段）

第2種、在recovery中刪除/data/app目錄下文件（拿到了最高root權(quán)限）

綜上，說明阿里云遠程拿到系統(tǒng)的1000system及以上權(quán)限，這個權(quán)限是遠比用戶高的。

舉個例子，多數(shù)人手機都有鎖屏密碼，通常情況下，在非root和未解鎖fastboot的情況下這個還是相對安全的，它的密碼信息存放在/data/system/gesture.key。他的owner是1000-system，group是1000-system。而阿里云遠程拿到是其owner或者比owner還高的權(quán)限，這意味著，遠程解鎖你的手機鎖屏密碼，輕輕松松。

再來個例子，/data/misc/wifi/wpa_supplicant.conf的owner是01000-system，group是01010-wifi權(quán)限，用戶是無法直接修改或者查看該文件的。然而阿里云遠程同樣拿到所有權(quán)。該文件存儲著你家里或公司的WiFi密碼，如果泄漏，Windows家庭組開啟的共享，企業(yè)的內(nèi)網(wǎng)數(shù)據(jù)，完全暴露。

我就不舉例通信錄，短信數(shù)據(jù)庫，sd卡等。

我不知道隱私對大家意味著什么，谷歌，蘋果，三星等都加強了安全性。其實如果用戶關(guān)注隱私，開啟全盤加密，基本能確保隱私不被竊取。反觀阿里云：以安全著稱的“自主”系統(tǒng)，直接拆了前門。

和女友親密的照片，朋友手機號，激情小視頻，網(wǎng)站及郵箱賬號，工作上的產(chǎn)品機密，甚至牽扯著和你同局域網(wǎng)電腦的信息隱私，我不相信你們沒有一個不在乎。

安卓的開源也是它安全的所在，所有人都能看到它的源代碼，所有的后門，漏洞都是暴露在陽光下，aosp開啟全盤加密安全性力壓蘋果。
反觀這一套雜交的雜種系統(tǒng)，主打安全，卻拆了前門，估計也就只有在中國和朝鮮能見到這樣的笑柄。

程序員勞動產(chǎn)品的價值在于版權(quán)，被人肆意抄襲修改自己的成果是對自己工作莫大的侮辱。
這個侵權(quán)，不遵守開源LGPL協(xié)議，開放后門的雜種系統(tǒng)，居然舔個*臉聲稱是自主開發(fā)，自己不是android，
這真的是史上天大的笑話。

最后，真為開發(fā)這個系統(tǒng)的同行感到汗顏，中國程序員們的臉都被你們丟盡了。

來一瓶爽歪歪 · 發(fā)表于 2018-11-26 09:46

這叫前門

伴久見人心 · 發(fā)表于 2018-11-26 09:47

都公開了，還叫后門！??！這叫前門?。。《疾恢赖牟沤泻箝T！例如，某科，某果。

來一瓶爽歪歪 · 發(fā)表于 2018-11-26 09:47

yunos可以直接給你的機子安裝軟件就是說你的機子是由他們控制的....
我以前有個開博爾C9 就是這樣每次開機他自己安裝YUNOS推廣的軟件..直到機子卡的不行
后來我降級了安卓系統(tǒng)才好的

傲嬌女王 · 發(fā)表于 2018-11-26 09:47

并不能算后門，這是有你家的鑰匙，開門進來掃蕩一番再鎖門走人了

› 你問我答 / 玩機教程 / 固件 › 你問我答 › 精選網(wǎng)友問答