Android 裝置陣營不斷朝多元化發(fā)展的情況在電子產(chǎn)業(yè)界已經(jīng)是常態(tài)，不過在中國市場，Android作業(yè)系統(tǒng)出現(xiàn)不同“分支”的情形似乎也有越演越烈的趨勢。

　　一方面，這顯示了中國智慧型手機業(yè)者的獨創(chuàng)性，他們積極以開放性的Android作業(yè)系統(tǒng)為基礎(chǔ)打造自己的“變種”版本;在另一方面，安全專家則對可能衍生的企業(yè)資料安全性表示憂慮──因為在跨國企業(yè)日益風(fēng)行的員工自帶裝置“BYOD (bring your own device)”趨勢。

　　美國感測器解決方案供應(yīng)商PNI Sensor技術(shù)長George Hsu最近接受 EETimes 美國版編輯采訪時表示：“中國智慧型手機業(yè)者本來一直很擔(dān)心Google在智慧型手機作業(yè)系統(tǒng)上的主導(dǎo)性，不過現(xiàn)在好多了，因為Android陣營已經(jīng)越來越分散。”

　　Hsu指出，今日的中國智慧型手機業(yè)者膽子更大、也更有創(chuàng)意，會將手機產(chǎn)品打造為擁有獨特的風(fēng)格;舉例來說，他們不會等待Google推出不關(guān)機應(yīng)用程式如Google Now之類的特定功能，而是藉由自己添加硬體技術(shù)，像是感測器中樞(sensor hub)，好在新型智慧型手機產(chǎn)品中整合獨特的環(huán)境感知功能。

　　從Android分裂生殖卻不能相容的新版本

　　在此同時，中國市場出現(xiàn)一個明顯的趨勢，就是開發(fā)“從Android分裂生殖但是又與Android不相容的”衍生版本;阿里巴巴集團(Alibaba Group)子公司阿里云開發(fā)的“Yun OS”就是一例。

　　據(jù)了解，阿里巴巴開發(fā)Yun OS是為了推廣該公司自家電子商務(wù)應(yīng)用程式以及其他服務(wù)。不久前阿里巴巴還宣布對中國二線智慧型手機品牌魅族(Meizu)投資5.9億美元，部分中國市 場觀察家形容阿里巴巴此舉是作業(yè)系統(tǒng)之戰(zhàn)，是該公司希望進(jìn)一步在手機領(lǐng)域推廣Yun OS。

　　目前并不清楚有多少中國Android智慧型手機通過Google的相容性測試套件(compatibility test suite，CTS)，且遵循Google的相容性定義文件(compatibility definition document，CDD);安全專家警告，不符合Google的CTS或CDD之裝置會帶有已知的安全性漏洞(這在通過Google認(rèn)證的 Android版本是可以避免的)。

　　一家總部位于美國舊金山的資安業(yè)者Bluebox最近發(fā)表了一份報告，指出中國智慧型手機品牌小米(Xiaomi)的米4智慧型手機被預(yù)載了惡意軟體。

　　根據(jù)Bluebox的原始報告，他們發(fā)現(xiàn)有小米出貨的米4配備了root過的ROM，而且被預(yù)載了被竄改的熱門效能評測(benchmarking)應(yīng)用程式;該報告并尺出，小米自己的識別應(yīng)用程式顯示那支手機是合法的小米官方產(chǎn)品。

　　不過在原始報告發(fā)表的兩天后，Bluebox坦承該份報告的主角是一支“仿造得維妙維肖”的假小米手機;于是這個故事演變成，原來是安全專家被以假亂真的仿冒品騙了，那篇報告當(dāng)然也是錯誤的內(nèi)容。

　　這起烏龍事件雖然讓Bluebox的聲譽受到影響，但也提供了電子產(chǎn)業(yè)一些有價值的觀點，讓大家開始關(guān)注現(xiàn)在市場上越來越多的中國品牌智慧型手機。

　　從Bluebox上當(dāng)事件學(xué)到的教訓(xùn)…

　　而Bluebox相信，他們的上當(dāng)經(jīng)驗凸顯了幾個問題;該公司首席安全分析師Andrew Blaich接受EETimes采訪時表示：“首先，我們不能完全相信自己正在使用的裝置。”就算是Bluebox 這樣的安全專家，也很難確認(rèn)裝置的軟硬體可信賴度。

　　“第二，我們現(xiàn)在知道，就算是合法的硬體裝置，軟體也能很輕易地被調(diào)包;”Blaich指出：“換句話說，無論裝置是否為仿冒品，事實是消費者所購買的裝置里面的ROM (無論是合法或仿冒硬體)，就會讓他們的個資面臨風(fēng)險?！?/p>

　　小米對于自家以Android為基礎(chǔ)的作業(yè)系統(tǒng)MIUI非常自豪，該公司將之視為產(chǎn)品廣受歡迎的原因之一;不過Bluebox一開始就認(rèn)為MIUI是“Android的分支(未取得官方認(rèn)證)，而且不包含Google的服務(wù)”。

　　但后來Blaich坦承其錯誤，并表示在諮詢過小米的安全團隊之后，Bluebox了解到，小米是“走出了自己的路”來“遵循所有的Android最佳實踐”。

　　小米在針對Bluebox原始報告的回應(yīng)中表示：“MIUI是純粹的Android，這意味著MIUI確實遵循了Android CDD，也就是Google對相容Android裝置的定義;而且它通過了所有Android CTS測試，該程序是產(chǎn)業(yè)界所使用、確保既定裝置是完全能與Android相容。在中國市場與國際市場銷售的小米裝置都是完全能與Android相容 的?！?/p>

　　如何確認(rèn)裝置的可信賴度?

　　如Bluebox所言，要如同資安業(yè)者那樣進(jìn)行測試來確認(rèn)小米裝置的可信賴度，所需花費的工夫超過了一般消費者愿意為確保購買的產(chǎn)品是正品所付出的。

　　而后來證實，在小米手機上裝載的MIUI ROM已經(jīng)被修改過，能繞過Google的AntiFake辨別真?zhèn)螒?yīng)用程式。Bluebox的實驗室發(fā)現(xiàn)：“在SD卡上有一個隱藏的目錄 (directory)，名為.apk，在這個隱藏目錄中有一些Android應(yīng)用程式套件檔案(APK)，扮演類似CPU-Z應(yīng)用程式的角色，以及某個 版本的AntiFake應(yīng)用程式?！?/p>

       Blaich表示，如果使用者嘗試在手機上安裝的某個應(yīng)用程式與那些套件檔案相對應(yīng)，SD記憶卡上的該應(yīng)用程式就會取代使用者打算下載的那個真的應(yīng)用程式，這是手機的ROM用以繞過認(rèn)證程序的一種方法。

　　不通過Google認(rèn)證的Android裝置有什么風(fēng)險?

　　究竟中國品牌的智慧型手機有多少是采用Android作業(yè)系統(tǒng)的“分支”?對此Blaich表示Bluebox也沒有確切的數(shù)據(jù)，他強調(diào)他們所做的調(diào)查并沒有獲得Google的報酬，也不是要特別針對中國的智慧型手機執(zhí)行什么維持治安任務(wù)。

　　Blaich解釋，中國手機業(yè)者的動機完全有可能只是為了建立自己的生態(tài)系統(tǒng)，開發(fā)一些讓自家手機品牌與云端服務(wù)、應(yīng)用程式商店連結(jié)的置入性服務(wù)。

　　大多數(shù)中國智慧型手機業(yè)者只在中國市場銷售產(chǎn)品，發(fā)現(xiàn)沒有具說服力的理由讓它們一定要遵循Android CDD與CTS，因為Google的服務(wù)在中國市場是被禁止的;Bluebox認(rèn)為，中國廠商開發(fā)的行動裝置很少是真的采用通過Google認(rèn)證的 Android版本。

　　如果對中國的消費者來說，Google服務(wù)又不能使用，為何還要擔(dān)心中國市場上的Android手機缺乏Google認(rèn)證?

　　Bluebox的業(yè)務(wù)就是盡可能保護行動裝置上的企業(yè)資料安全，Blaich 表示：“我們需要密切注意最新的Android裝置;”因為BYOD趨勢在企業(yè)界越來越盛行，他強調(diào)：“跨國公司的員工可以輕易使用這些手機，最后不小心把公司機密資料泄漏出去。”

　　在手機中加入獨家感測器

　　“使用不安全的(BYOD)裝置，是把你的個資以及公司的資料置于風(fēng)險之中?！辈贿^Blaich也同意PNI的Hsu所言，因為置入性服務(wù)風(fēng) 行：“有一些成功的案例讓中國手機業(yè)者發(fā)現(xiàn)，添加自己的硬體或是修改Android作業(yè)系統(tǒng)，以及利用那些感測器資料來建立自己的支援與服務(wù)是有好處 的?！?/p>

　　根據(jù)Hsu的觀察，有部分中國手機業(yè)者藉由采用硬體解決方案讓手機具備特定功能，而越來越減少對Google的依賴，這種硬體方案就是感測器中樞;他解釋，感測器中樞被視為一個“客制化區(qū)塊”，能讓中國智慧型手機業(yè)者打造具差異化的應(yīng)用程式與服務(wù)，培養(yǎng)自己的客戶群。

　　Hsu預(yù)期，接下來幾年智慧型手機市場的一大趨勢，將會是“具備環(huán)境感知功能的不關(guān)機手機”，而為了打造更具創(chuàng)意的應(yīng)用，廠商將在感測器中樞領(lǐng)域發(fā)現(xiàn)一片“綠草地”。