拆開一部新的智能**應該是科技界的新樂趣之一。取下玻璃紙，從盒子上取下蓋子，打開你的原始設備。開機標誌旋轉在其所有多彩的榮耀，而**準備其新的操作系統。

但如果不是那麼幹淨呢？在那明亮的外表下可能隱藏著更險惡的東西。事實證明，越來越多的證據表明，你可能無法信任你的全新Android**。

消費電子產品供應鏈

現代**業的供應鏈是複雜的。全球化的結果是，從原材料到成品，世界各地都有市場，消費電子產品也不例外。中國是最大的電子產品生產國之一，自上世紀80年代經濟開始增長以來，許多西方企業一直將生產外包給中國。

中國也是最大的硅生產國，硅是現代電子產品中的一種重要材料。該國負責**世界上大多數消費電子產品。僅2017年，中國對美國的進口總額就達到1890億美元。這種驚人的增長和市場主導導致了最近美中之間的貿易戰，兩國在整個2018年都對對方產品徵收重稅。

儘管中國控制著**業供應鏈的很大一部分，但材料和組裝件都是從世界各地採購的。正是因為這個原因，你的蘋果iDevice“在加州設計”。背面刻有“中國組裝”。經濟學家倫納德在1958年的論文《我，鉛筆》中詳細描述了生產一支鉛筆所需的複雜過程，這是一種看似簡單的一次性產品。

龐大而複雜的電子產品供應鏈意味著精確的可追溯性幾乎是不可能完成的任務。

**android智能**

蘋果的華爾街花園方式意味著他們對自己的生產過程保持嚴格的控制。該公司過去曾被指控工廠員工的工作條件惡劣、不安全，但他們確實嚴格控制了生產過程。

對於Android設備來說，情況並非如此。

谷歌對他們的移動操作系統採取了不插手的方式。由於Android是開源的，**商幾乎可以用它做任何他們想做的事情，而不必花一分錢。這種商業模式被認為是推動Android成為主流和目前市場主導地位的原因。

然而，這種方法也有一些缺點。碎片，緩慢或有時不存在的更新，以及無響應或垃圾郵件充斥的發射器等等。每個**商和運營商都可以定製設計每個設備的硬件和軟件。因此，現在市場上有許多不同的Android設備。

由於大部分生產過程都在中國完成（這就是為什麼直接從中國購買**變得如此流行），工廠通常會為多家**商組裝智能**。它們甚至可以在同一條生產線上運行，只需更改品牌即可。這導致許多設備共享軟件、組件，有時甚至是整個成品。

你不能相信你的新智能**

Android的開放性給惡意軟件提供了一種可能，而蘋果精心策劃的設備卻無法做到這一點。儘管谷歌在過去幾年採取了措施來提高平臺的安全性，但**商的糟糕做法和錯綜複雜的供應鏈為惡意攻擊者提供了機會。

rottensys惡意軟件

2018年初，小米紅米上的一項Wi-Fi服務引起了Check Point Research（CPR）研究人員的注意。經過一番調查，他們發現它根本不提供Wi-Fi服務。相反，它請求了一長串敏感的Android權限，這些權限都與Wi-Fi服務無關。

最有意義的權限之一是在沒有通知的情況下下載。該應用程序似乎利用這一權限從命令與控制（C&C）服務器下載惡意軟件，但在**剛通電時稍有延遲。這個被稱為RottenSys的惡意軟件能夠通過使用一個名為MarsDaemon的開源框架來保持其進程的活動性，從而對操作系統進行隱藏。

C&C服務器提供了一個惡意廣告網絡的文件，該網絡被虛假的Wi-Fi服務悄悄地安裝在**上。CPR估計，襲擊者每10天的行動可獲得高達11.5萬美元的收入。研究人員還發現有證據表明，攻擊者正準備招募受感染的設備加入他們的殭屍網絡（什麼是殭屍網絡？）。

CPR的調查發現，電子批發商田沛處理的感染設備幾乎佔一半。雖然他們沒有說田牌是同謀，但他們確實得出結論，惡意軟件可能是在供應鏈的某個時候安裝的。

該惡意軟件於2016年9月開始傳播，到2018年3月，全球已感染近500萬臺設備。幸運的是，刪除RottenSys只需要幾秒鐘——一旦你知道在哪裡可以找到它。如果你的新Android設備似乎充斥著廣告軟件，請轉到你的設置，刪除CPR報告中列出的任何應用程序。一旦你卸載了這個應用程序，RottenSys就會隨之消失。

上海adups科技

我們的智能**生成並存儲了大量個人和敏感信息。你最不希望你的全新智能**收集所有數據，並每72小時將數據發送到中國服務器。

然而，這正是Krytowire安全公司的研究人員在2016年發現的。受影響的固件在美國銷售的多個Android設備上都有，包括流行的BLU R1 HD。由於繞過Android權限，它被授予對所有數據的無限制訪問權限。據報告，這包括：

"...user and device information including the full-body of text messages, contact lists, call history with full telephone numbers, unique device identifiers including the International Mobile Subscriber Identity (IMSI) and the International Mobile Equipment Identity (IMEI)."

它還能夠遠程重新編程設備，安裝應用程序，並收集精細的位置數據。Kryptowire將可疑活動追溯到中國上海AdUps科技公司。該公司表示，數據收集是一個錯誤，固件僅用於提供更新。然而，他們與美國**、亞馬遜、BLU和谷歌合作刪除了間諜軟件。

一年後，研究人員發現，上海AdUps仍在Android設備上使用間諜軟件。大部分數據虹吸都是隱藏的，而不是被刪除的。美國設備的一些功能已經關閉，但他們仍然將數據發送回中國公司。氪星指出，ADOPS繼續收集安裝的應用程序、電話號碼、設備標識符和蜂窩塔信息列表。

考慮到美中關係的現狀，也許值得注意的是，氪火獲得了美國國防高級研究計劃局（DARPA）和國土安全部（DHS）的資助。

你想怎麼做就怎麼做。

你能真正信任誰？

預裝惡意軟件和內置安全漏洞的很多責任都落在了中國的腳上。的確，管理世界上最大的監控國家的政治有時可能會滲入他們的**業。然而，歸因是困難的，甚至那些指名道姓、羞辱責任方的報道通常只是一個有根據的猜測。

這並不是說中國應該完全擺脫困境。最近針對華為的指控意味著，如果你重視隱私，你可能不應該購買他們的**。這也不是華為第一次發現自己捲入安全醜聞。

儘管目前的惡意軟件流僅限於Android設備，但這並不是說它將永遠保持這種狀態。即使在蘋果的監視下，惡意軟件的風險也不大可能，而不是不可能。如果所有這些不確定性讓你想在失敗中舉手投降，那麼也許是時候考慮放棄你的智能**，轉而購買一部笨重的**了。