该代码是一个动态代码，实时从小米官方服务器上获取指令执行，用户无法干预该指令的执行，并且无法得知该指令的存在

这就是所谓的广告代码，小米对该代码有绝对控制权，可以在任意时间投放任意代码给用户执行

0x03到底广告友好不友

好再看看上文小米路由器插入的广告代码，不看不要紧，一看吓一跳：

<script src=\"http://api.miwifi.com/toolbar?device_id=${device_id}&host=${host}&uri=${uri}&rom=${rom_version}&hardware=${hardware}&channel=${channel}\"></script>

host是你访问的网站，uri是你访问网站时浏览的页面【以及你提交的GET查询数据】，该数据可能包含你的账号名称、身份标识，换句话说就是你在网页里输入的东西都有可能被发往小米官方服务器，你看到什么，小米官方就能看到什么。技术上讲，你在访问网页时被跟踪了，这段代码执行时不仅仅是显示广告，而且通俗的讲就是把你浏览器地址栏里面的内容全都发送到了小米服务器上。

从网友提供的图片可以看到，网友正在浏览的网页地址http://movie.douban.com/subject/25718082被小米路由器主动上交给了小米官方服务器（因为该网页并不包含特别机密信息，且网友已经公开本图片，请允许我在此公开该网页地址，请该网友见谅，话说你咋喜欢看这种电影呢，嘻嘻嘻~）

0x04总结

小米官方称“开发版试水”情况属实，并不会影响到正常使用稳定版的用户

小米官方称“已经作出相应调整”情况属实，临时取消JS注入域名清单（取消注入）

网友所说的JS注入情况属实，并且并非静态JS，而是小米服务器上的动态JS

网友所说的浏览器劫持情况属实，官方所说手机APP能够关闭404页面情况属实，但是这个功能默认是开着的，需要手动关闭

小米官方称“炒作”情况属实，首先用户在反馈时忘记注明是开发版固件，因此使用的并不是普通用户的稳定版功能，而媒体并没有解释“开发版”的含义，盲目大力渲染“劫持、注入”的危害，给用户造成了片面印象，【小米对手动安装了开发版固件的无辜用户做了劫持和JS注入，但还没有在全国强推该计划】

小米官方称“友好的新功能提示”不实，该代码将用户的浏览信息上传至小米服务器（具体来说，你看的每一个网页地址，某些情况下可能包含用户名、密码）

404页面劫持会泄露用户浏览的网页地址情况属实，但是一般来说这不会泄露个人隐私，另外404也有开关了，因此不再讨论

个人观点：小米路由器开发版设计的浏览器劫持、JS代码注入功能性质恶劣，严重侵犯了用户的隐私权，甚至将来有可能借此入侵用户的计算机与手机，并且所插入的JS代码确实将用户的隐私信息（浏览器访问网站的地址及部分用户输入的内容）窃取至小米服务器，已经可以定性为后门程序。然而开发版意味着该功能只是技术尝试，并未给普通用户造成实际影响，因此虽然性质恶劣但是目前影响并不大。我认为小米有意将木马程序推送给全国用户，暂时先在开发版里试一下水，如果不被发现就继续这么干下去了，现在被发现之后轻描淡写称开发版是逗你们玩儿的。