侵权投诉
当前位置:

OFweek电子工程网

其它

正文

研究称数百万Android设备出货时便存在固件漏洞

导读: 据《连线》网站报道,研究人员发现,数以百万计的Android设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。

据《连线》网站报道,研究人员发现,数以百万计的Android设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。

智能手机因安全问题而崩溃往往是自己造成的:你点击了错误的链接,或者安装了有问题的应用。但对于数以百万计的Android设备来说,这些漏洞早就潜藏于固件当中,被利用只是迟早的问题。这是谁造成的呢?在某种程度上,制造设备的制造商和销售设备的运营商都有责任。

这是移动安全公司Kryptowire的最新研究分析得出的主要结论。Kryptowire详细列出了在美国主流运营商销售的10款设备中预装的漏洞。Kryptowire首席执行官安杰罗斯·斯塔夫鲁(Angelos Stavrou)和研究总监莱恩·约翰逊(Ryan Johnson)将在周五的Black Hat安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。

这些漏洞的潜在后果可大可小,比如锁住设备让机主无法使用,秘密访问设备的麦克风和其他的功能。

“这个问题不会消失。”——Kryptowire首席执行官安杰罗斯·斯塔夫鲁

Android操作系统允许第三方公司根据自己的喜好改动代码和进行定制,而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题;它让厂商能够寻求差异化,给人们带来更多的选择。谷歌将在今年秋天正式推出Android 9 Pie,但最终该新系统将会有各种各样的版本。

不过,那些代码改动会带来一些令人头痛的问题,其中包括安全更新推送的延迟问题。正如斯塔夫鲁和他的团队所发现的,它们还可能会导致固件漏洞,将用户置于危险当中。

“这个问题不会消失,因为供应链中的许多人都希望能够添加自己的应用程序,自定义定制,以及添加自己的代码。这增加了可被攻击的范围,增加了软件出错的可能性。”斯塔夫鲁指出,“他们让终端用户暴露于终端用户无法应对的漏洞当中。”

Kryptowire在Black Hat上的讲话聚焦于来自华硕、LG、Essential和中兴通讯的设备。

Kryptowire的研究关注的并不是制造商的意图,而是整个Android生态系统的参与者共同造成的广泛存在的代码低劣问题。

以华硕ZenFone V Live为例,Kryptowire发现,该款手机的整个系统都被接管控制,包括对用户屏幕的截图和视频录像、打电话、浏览和修改短信等等。

“华硕意识到最近ZenFone的安全问题,正努力通过软件更新来加快解决问题,软件更新将无线推送给ZenFone用户。”华硕在一份声明中表示,“华硕致力于保障用户的安全和隐私,我们强烈建议所有的用户更新到最新的ZenFone软件,以确保获得安全的用户体验。”

现阶段,要解决自己造成的烂摊子,推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上,用户可能也不会去安装更新。”他说道。他还指出,在Kryptowire测试的一些机型上,更新过程本身就被中断了。这一发现也得到了德国安全公司Security Research Labs最近的一项研究的支持。

1  2  下一页>  
声明: 本文由入驻OFweek公众平台的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

我来说两句

(共0条评论,0人参与)

请输入评论

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号