如何看待 Android 第三方 ROM 的安全性隐患？
2012-01-19 20:13:28   来源：   点击：

4 个答案

• 答案 1：

  1. 如果是一些不值得信任的第三方制作的ROM，确实会有一定危险，但对于有的开发社区做的ROM，还是相当值得信赖的，比如cyanogenmod，全部源代码都可以下到，有什么后门直接就被人暴露出来了。对于root来说，目前大部分人使用的superuser permissions还是相对比较安全的，至少申请了root的应用都在你的允许和监控下。2. 随意读取联系人的问题确实是比较严重，但这个也是在用户允许的情况下，如果对其有疑问，建议不安装即可，Android应用众多，总有替代产品的。此外，在iOS上此类问题同样存在，用户数据随便会被应用访问到，而且还是不会有任何提示，从这方面来说，Android的提示是比iOS安全更多的做法。3. 手机商为何没有第三方ROM功能多，易用，这个和手机商本身条件和外部政策等的限制有关的，不仅仅是技术的限制。一个最简单的例子，大家都需要GMS这样的应用，但国内想上都不可以，而且GMS也是有费用支出的，第三方则基本没这种限制。并且，第三方有时会对Android系统进行一些更深入的修改，会导致产生一些兼容性问题，也许会无法通过CTS测试，对于厂家来说，很多是无法接受的。而且，厂家会为其系统构建一些战略性应用，这些应用不会因为好用与否就有所变化，而第三方也很少这种限制。

• 答案 2：

  我不能同意 @袁兆文 的观点。一、关于 root 权限。

  不可否认，很多人获取 root 权限，就是觉得“有权限当然更好，用不用得到另说”，或者是 JS 刷机的时候直接给他 root 了。

  但是，我觉得“一些别用有心的应用需求Root干嘛呢？”、“只是中国人压抑太久了，渴望拥有更大的权限”等说法不够负责。因为，(1) 你用不到 root，不代表别人用不到；(2) 需要 root 的地方，基本是不 root 不行。

  比如，你使用 OpenVPN、使用备份软件（钛备份等）、运行脚本（如修改 DNS）、超频，都必须 root。

  在目前的机制下，我认为 root 权限还是不太容易出问题的，只要 (1) 告诉普通用户：如果你不是必须用到 root，就不 root；(2) 如果 root 了，告诉他，当一个程序请求 root 权限时，如果你不确定，就点“拒绝”。详细措辞请参考各种 Linux 教程 XD。

  二、论证逻辑有一些问题。

  “刷机是暴力欺凌手机的另一个借口”—— 我不同意。就拿我的 MOTO Defy 来说，在我看来原生系统确实不好看，MIUI 的界面更讨人喜欢一些，于是我就用了 MIUI。选用第三方 ROM 有一点“博弈”的感觉在里头，你享受了更好的界面（不要说 ROM 本身的 UI 不重要！如果有更好看 / 更流畅的 UI，为什么不用呢？），就要承担一些 bug 等，其实挺好玩的。刷机怎么成了欺凌手机了呢！

  “我不知道，但我这手机纯原生系统的情况下用电子市场安装两百多应用和游戏，哪个应用没有强行叫我Root啊？”—— 这并不能推导出玩机就不用 root 或是 root 就是别有用心的。

  “所以说，原生系统，才是最棒的体验。”—— 上面的论证无法推导出这一点。只有自己同时使用过官方 ROM 和第三方 ROM，权衡比较后得出的结论，才有说服力。就拿我的使用体验来说，有不少因素让我转投 MIUI，比如我需要系统日历支持联系人的农历生日（我是山东人，山东这儿大多数地方还是过农历生日）。

  “iPhone是最没有个性的，但依然不掩盖它霸占了世界的主流智能手机的市场。” —— 这是一句匪夷所思的话。如果手机的原生系统能做得像 iOS 一样美观、流畅、易用，我也不去刷第三方 ROM 了。

  三、第三方 ROM 的安全隐患，我想并不在 root 权限上，而在于 ROM 本身。

  提问者的问题是“第三方 ROM 的安全性隐患”，疑问涉及系统本身是否带有后门和一些应用是否应该请求那么多权限。

  关于系统，自然是开放源码的系统最值得信赖（CM7），知名的 ROM 次之（MIUI），个人知名制作再次之（如 V 大 ROM），其他制作最次。不过国内的 ROM，确实不太值得信赖，可 CM7 我又不喜欢。

  关于应用软件，我的原则是：

  基本上，在市场下载软件时，都会有该程序要请求的权限列表。我看到 UC 浏览器要请求联系人数据，就直接不下了。本来主力浏览器就是 Opera Mini，是想用 UC 看论坛来着。

  必须要用的软件（无替代品），比如“航班管家”，下载后在使用前直接禁掉了它的发送短信权限。（当然也可以在提示时禁用）

  云服务，我只相信 Google 的或是国外支持 HTTPS 的（如 Evernote），且挂 VPN 使用。

  我想，既然用 Android，对权限稍留心一些，也是用这个系统所必须付出的代价吧！

  在适当关注权限的情况下，隐私问题还是比较可以放心的。

• 答案 3：

  1.我觉得第三方的ROM虽然多，但还不至于泛滥的地步。一般大家都是在论坛里获取第三方ROM的，如果那个ROM有问题的话，肯定会有玩家能够发 现。而且大家一般都会选择比较知名的第三方rom，比如说CM，MUUI等等。2.我觉得不相关的软件对隐私确实是一个威胁，因为android系统内好像没有可以保护隐私的软件（或者是锁定联系人等数据，禁止不相关软件读取的软件）。（ps：而且我觉得隐私保护是一个很好的商机）3.就我个人的看法，手机厂商做ROM追求的的是：a.稳定性。第三方的rom可以不稳定，但是官方的必须要稳定。 b.全面性。手机厂商需要顾及到所有用户的需求，而第三方的ROM可以针对某一个特殊群体，不需要最完整的功能，所以能做到比较简单省电。 c.与运营商的合作。某些时候，手机厂商会和运营商合作推出一款手机的行货版本，那么，手机厂商肯定要针对运营商提供的服务来定制系统，这样就很容易造成系统的繁重。另外，我觉得移动互联时代虽然很多隐私藏不住了，不过如果国家有关部门完善相关法律的话，再加上舆论监督，也不要太过担心。至于iOS或开放平台的问题，何必纠结呢？选择自己喜欢的不就行了。现在我觉得系统已经不重要了。系统只需要简单易用就行了。。系统与系统之间，以用户的眼光来看，区别并不大（UI，操作方式都差不多）。而现在用户使用的是应用程序，应用程序才是一个用户选择某系统的理由。（比如我家的pc选择windows而非ubuntu就是因为windows有丰富的第三方软件）Ps：短期内，我是不会投靠“云”服务的，因为移动互联网的网费有点高……网速有点慢……（就我个人看法吧，这也是云服务在中国普及的障碍）。。。以上只是本人的一些浅见，欢迎诸位指正。。。

• 答案 4：

  1.这确实是一个问题，第三方ROM制作过程都没有公开化，还不如CM比较好是不是？但CM有很多不是自己喜欢或者风格的，而且，我疑惑了：你不喜欢，为什么不考虑原生的系统？或者品牌定制系统？原生的系统或厂家品牌系统起码能够保证安全的吖。虽然不是盗版，但安全性一直存在的系统还是值得思考的问题。Root权限有时候不需要比较好，一些别用有心的应用需求Root干嘛呢？目前原生系统2.3上已经满足了大部分的需求和满足。只是中国人压抑太久了，渴望拥有更大的权限……2.有一些UC确实需要读取，但UC本身的功能是需要你去获取权限，比如发短信，UC邀请或发送啊什么都需要权限的。但百度地图可以用自带啊……为神马要用百度地图？3.初期如G1~G4确实都有这样的问题，低能的手机性能跟不上系统速度，加以系统版本越升级越要求高，低能的手机被迫只能采用第三方ROM来刷机满足，当然包括不负责任的手机厂家没有推出ROM咯。但淘汰的最好不要买，尽量购买2500以上的手机，因为目前的这些手机都能足以应付以后系统版本升级（可能升级不了，3.0出来了以后，2.3基本没有升级的可能。）网络的确无法隐藏，但你有需求的情况下可以使用它云服务。Google啊什么外国的还是值得保证的，可惜国内不明真想直接封了，还大力提倡国内云服务。。就像触摸屏已经推广越来越快，你应该固守本地的9格手机呢？还是赤裸裸地拥抱？评价第三方ROM：如果你手机能够满足自己所需的功能，就尽量不要刷机，因为刷机并不是玩机的理由。而是暴力欺凌手机的另一个借口。不要听信别人说：你没有刷机，就等于你没有玩过。其中他们的利益驱动才让他们说，让你们觉得没刷机就太没面子了，就刷机了……试问，需要用到的Root手机有哪些应用？我不知道，但我这手机纯原生系统的情况下用电子市场安装两百多应用和游戏，哪个应用没有强行叫我Root啊？所以说，原生系统，才是最棒的体验。Nexus系列升级后，就基本无忧了。但倒是你无休无止的刷机什么时候才是到头啊？是不是？不要说原生系统没有个性，手机是用来用的，不是用来炫耀的。iPhone是最没有个性的，但依然不掩盖它霸占了世界的主流智能手机的市场。-------------------------------回应@王加冕 对我的质疑----------------------------------回应你的说法：TOT……一、额，好吧，适当使用Root是有好处的。这一点我不能不否认。但Root本身在Android系统中已是非法操作，虽然与iOS越狱无异。可以随心安装你所需要的应用和修改系统的权限。简单说是与是否承认法律是一样的道理，超越法律，就是超越了手机系统的禁止Root权限使用。导致系统本应不该有的问题出现诞生。而出的问题诞生通常都有奇奇怪怪的，千奇百怪的问题难倒了大多数的高手，通常高手情况下建议是刷机、刷机、再刷机这样不负责任的言论。当然，“(1) 你用不到 root，不代表别人用不到；(2) 需要 root 的地方，基本是不 root 不行。”我承认，我自己的事，代表不了别人的说法，但应该可以代表某种特定上的群体吧？虽然只是少少的，但我需要保护他们不被误导“不Root，你就Out了”的强制灌输式思想。需要Root的地方，基本都有自己的替代品，并不是耍耍技术手段以显示自己的技术有多高明。就如你所说的OpenVPN需要Root，而这VPN本身在Android已有集成，只需要提供账号和密码即可连接，小心国内的某党植入木马耶。备份软件可通过其它比如豌豆夹之类方式备份并进行完成，这本身也是无需Root。运行脚本也可以通过VPN处理。简单，容易，方便。超频这是因为手机性能不行才超的。但目前单核1G、双核以上级别的手机基本上无需超频即可玩流畅的手机，至于你的手机Defy800Mhz当然需要超频，这一点你自己需要承担手机系统的稳定问题诞生的可能性，毕竟，手机万一打不通电话、发紧急的短信，那超频的代价会不会有点太大了呢？对于玩家来说，应该不会，但对于需要保证通讯连接的人就不一定了。就不要误导他们。同样的我理解品牌系统有多大的悲剧，什么要删除系统里的不必要软件（其实HTC最没有性价比的。真不知道你们为什么这么狂热喜欢这种麻烦的HTC）中国是一个很神奇的地方，当电脑摆在他们的面前，当360提示各种问题时，他们通常都是直接跳过或关闭或随便点击确定就完事。而他们不知道后面所带来的不稳定的诞生是什么后果。同样的，在中国依然还是一个神奇的地方，当Root摆在他们的面前，他们会根据Root的警告来决定么？我想不会，他们会直接点击授权或其它不懂英文的“授权”来授权未知的应用。难道不会么？如果会，中国早就有最小5~10%使用Linux了。并愿意重复输入密码便于授权某种需要高权限的系统。二、我为什么这样说“刷机是暴力欺凌手机的另一个借口”，你看看大多数的论坛上频繁出现的帖子：我刷成砖头了，我刷出问题了，擦系统又没修Bug……不知道你有没有注意到某个角落里无奈地呐喊：我从此不再刷机了，受不了了。也有一个说：我不刷了，太不稳定了，刷回回来的。他们只需要某种的安全感的稳定，而不是频繁跳出来：FC。难道不叫“刷机是暴力欺凌手机的另一个借口”？另你这叫品牌系统（亲，很抱歉通知你，你误会了。懂原生系统是什么意思吗？），你可以投诉MOTO，说他们的系统很垃圾。当然我知道我这样的说法很不负责任，因为MOTO压根不理会你的投诉。（不过占一定的比例投诉应该会引起他们的关注）既然你不喜欢品牌系统，为何不购买其它如Nexus系列的原生系统呢？当然我还是知道我这样的说法依然还是不负责任的，Nexus系列出来的只有两台，但这在大多数的论坛板块上，问题出现非常少，并不是因为购买的人少，而是因为不知道还有什么问题可以提出来的，比如说Nexus One板块很冷门，而兄弟版HTC Desire异常热门，但我希望你注意：这里都是提出大多软件性问题、刷机性问题等等。Nexus系列珍贵，如同iPhone般的一样，一年一台的推出。却保护了原生系统的忠诚度。至于MIUI，各人有自己的爱好和看法。我也明白品牌系统的手机有多少的悲剧，MOTO界面难看之极，三星呆板的界面，索爱酷炫却不低调（其实这手机的性能很悲剧），HTC的狂热界面（我的意思是，发烫）等等，不得不被迫选择MIUI替换了悲剧系统，MIUI和什么系统还是比较好，虽然改动的界面太大，但依然保护了大量的忠诚悲剧的用户（就像，保护了中国人的言论和自由的人，会被受欢迎，但如果在美国呢？）要不然也不会有这么多忠诚者了。但，MIUI可供手机刷机的种类，很少。但其中大部分的可支持的手机都有自己流畅的系统。不涉及的机型只能寻找其它刷机。这样的话依然暴露了同一个原则：刷机是暴力欺凌手机的另一个借口。三、我想，体验永远是最高的。体验带来形成的习惯还是比较容易的，突然变换多种的系统我想他们应该不会容易接受的。（我承认，品牌系统真的很难以接受和操控）而CM7可支持的种类机是真的很少，但为什么支持机型这么多呢？是因为有其它高手在免费帮助制作Rom的。并声明来自CM7内核制作之类云云的帖子。但这样就如上面所说：刷机是暴力欺凌手机的另一个借口。UC浏览器需要请求查看联系人数据，但这被Google审批通过上架（我明白电子市场没有审查），说明安全性应该比使用Root过的高。因为他们还是不会注意到Root干嘛。我我想禁掉“航班管家”的理由是自动扣费吧？但电子市场里的大多都是安全的，极小几率发生不会像你所想的那个：自动扣费。但如果你通过第三方盗版市场和论坛下载就另作一个回事了。Android设计时禁掉了Root，是因为Google考虑到了广大P民和国际上的人都会有着“自动授权”的习惯。他们应该很清楚，为什么要禁掉Root的原因。