《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 研究稱(chēng)數(shù)百萬(wàn)Android設(shè)備出貨時(shí)便存在固件漏洞

研究稱(chēng)數(shù)百萬(wàn)Android設(shè)備出貨時(shí)便存在固件漏洞

2018-08-14
關(guān)鍵詞: Android 固件 運(yùn)營(yíng)商

據(jù)《連線(xiàn)》網(wǎng)站報(bào)道,研究人員發(fā)現(xiàn),,數(shù)以百萬(wàn)計(jì)的Android設(shè)備出貨之時(shí)便存在固件漏洞,,容易受到攻擊,用戶(hù)可以說(shuō)防不勝防。

智能手機(jī)因安全問(wèn)題而崩潰往往是自己造成的:你點(diǎn)擊了錯(cuò)誤的鏈接,或者安裝了有問(wèn)題的應(yīng)用。但對(duì)于數(shù)以百萬(wàn)計(jì)的Android設(shè)備來(lái)說(shuō),,這些漏洞早就潛藏于固件當(dāng)中,被利用只是遲早的問(wèn)題,。這是誰(shuí)造成的呢,?在某種程度上,制造設(shè)備的制造商和銷(xiāo)售設(shè)備的運(yùn)營(yíng)商都有責(zé)任,。

這是移動(dòng)安全公司Kryptowire的最新研究分析得出的主要結(jié)論,。Kryptowire詳細(xì)列出了在美國(guó)主流運(yùn)營(yíng)商銷(xiāo)售的10款設(shè)備中預(yù)裝的漏洞,。Kryptowire首席執(zhí)行官安杰羅斯·斯塔夫魯(Angelos Stavrou)和研究總監(jiān)萊恩·約翰遜(Ryan Johnson)將在周五的Black Hat安全會(huì)議上展示他們的研究成果。該項(xiàng)研究是由美國(guó)國(guó)土安全部資助的,。

wx_article_20180812231223_YmoxTG.jpg

這些漏洞的潛在后果可大可小,,比如鎖住設(shè)備讓機(jī)主無(wú)法使用,秘密訪(fǎng)問(wèn)設(shè)備的麥克風(fēng)和其他的功能,。

“這個(gè)問(wèn)題不會(huì)消失,。”——Kryptowire首席執(zhí)行官安杰羅斯·斯塔夫魯

Android操作系統(tǒng)允許第三方公司根據(jù)自己的喜好改動(dòng)代碼和進(jìn)行定制,,而那些固件漏洞正是這種開(kāi)放性的副產(chǎn)品,。開(kāi)放本身沒(méi)有什么問(wèn)題;它讓廠(chǎng)商能夠?qū)で蟛町惢?,給人們帶來(lái)更多的選擇,。谷歌將在今年秋天正式推出Android 9 Pie,但最終該新系統(tǒng)將會(huì)有各種各樣的版本,。

不過(guò),,那些代碼改動(dòng)會(huì)帶來(lái)一些令人頭痛的問(wèn)題,其中包括安全更新推送的延遲問(wèn)題,。正如斯塔夫魯和他的團(tuán)隊(duì)所發(fā)現(xiàn)的,它們還可能會(huì)導(dǎo)致固件漏洞,,將用戶(hù)置于危險(xiǎn)當(dāng)中,。

“這個(gè)問(wèn)題不會(huì)消失,因?yàn)楣?yīng)鏈中的許多人都希望能夠添加自己的應(yīng)用程序,,自定義定制,,以及添加自己的代碼。這增加了可被攻擊的范圍,,增加了軟件出錯(cuò)的可能性,。”斯塔夫魯指出,,“他們讓終端用戶(hù)暴露于終端用戶(hù)無(wú)法應(yīng)對(duì)的漏洞當(dāng)中,。”

Kryptowire在Black Hat上的講話(huà)聚焦于來(lái)自華碩,、LG,、Essential和中興通訊的設(shè)備。

Kryptowire的研究關(guān)注的并不是制造商的意圖,,而是整個(gè)Android生態(tài)系統(tǒng)的參與者共同造成的廣泛存在的代碼低劣問(wèn)題,。

以華碩ZenFone V Live為例,Kryptowire發(fā)現(xiàn),,該款手機(jī)的整個(gè)系統(tǒng)都被接管控制,,包括對(duì)用戶(hù)屏幕的截圖和視頻錄像,、打電話(huà)、瀏覽和修改短信等等,。

“華碩意識(shí)到最近ZenFone的安全問(wèn)題,,正努力通過(guò)軟件更新來(lái)加快解決問(wèn)題,軟件更新將無(wú)線(xiàn)推送給ZenFone用戶(hù),?!比A碩在一份聲明中表示,“華碩致力于保障用戶(hù)的安全和隱私,,我們強(qiáng)烈建議所有的用戶(hù)更新到最新的ZenFone軟件,,以確保獲得安全的用戶(hù)體驗(yàn)?!?/p>

現(xiàn)階段,,要解決自己造成的爛攤子,推送更新是華碩唯一能夠做的,。但斯塔夫魯對(duì)這種修補(bǔ)過(guò)程的有效性表示懷疑,。“用戶(hù)必須要接受并安裝這個(gè)補(bǔ)丁,。所以即使他們把它推送到用戶(hù)的手機(jī)上,,用戶(hù)可能也不會(huì)去安裝更新?!彼f(shuō)道,。他還指出,在Kryptowire測(cè)試的一些機(jī)型上,,更新過(guò)程本身就被中斷了,。這一發(fā)現(xiàn)也得到了德國(guó)安全公司Security Research Labs最近的一項(xiàng)研究的支持。

Kryptowire所詳述的攻擊基本上都需要用戶(hù)去安裝應(yīng)用,。然而,,雖然正常來(lái)說(shuō)可以通過(guò)一個(gè)不錯(cuò)的方法來(lái)規(guī)避潛在的攻擊,即堅(jiān)持使用谷歌官方應(yīng)用商店Google Play來(lái)下載應(yīng)用,,但斯塔夫魯指出,,讓這些漏洞變得如此有害的是那些應(yīng)用程序在安裝時(shí)并不需要授予特別的權(quán)限。換句話(huà)說(shuō),,應(yīng)用程序不必誘使你提供訪(fǎng)問(wèn)你的短信和通話(huà)記錄的權(quán)限,。得益于存在缺陷的固件,它可以輕而易舉地,、悄無(wú)聲息地獲取你的短信和通話(huà)記錄,。

攻擊最終可能會(huì)導(dǎo)致各種各樣的后果,具體要看你使用的是什么設(shè)備,。就中興Blade Spark和Blade Vantage而言,,固件缺陷會(huì)允許任何應(yīng)用程序訪(fǎng)問(wèn)短信,、通話(huà)數(shù)據(jù)和所謂的日志記錄(收集各種系統(tǒng)消息,可能包括電子郵件地址,、GPS坐標(biāo)等敏感信息),。在LG G6(Kryptowire的研究報(bào)告中最流行的一款機(jī)型)上,漏洞可能會(huì)暴露日志記錄,,或者被用來(lái)鎖定設(shè)備讓機(jī)主無(wú)法訪(fǎng)問(wèn),。攻擊者還可能會(huì)重置Essential Phone手機(jī),清除它的數(shù)據(jù)和緩存,。

“在我們意識(shí)到這個(gè)漏洞以后,,我們的團(tuán)隊(duì)立即進(jìn)行了修復(fù)?!盓ssential公關(guān)主管莎麗·多爾蒂(Shari Doherty)說(shuō)道,。

你完全無(wú)法自己去解決問(wèn)題,也無(wú)法早早發(fā)現(xiàn)問(wèn)題的存在,。

LG似乎已經(jīng)解決了一些潛在的問(wèn)題,,但還沒(méi)有完全解決?!癓G此前了解到了這些漏洞,,并已經(jīng)發(fā)布了安全更新來(lái)解決這些問(wèn)題。事實(shí)上,,報(bào)告提到的漏洞大多數(shù)都已經(jīng)被修補(bǔ),,或者已經(jīng)被納入即將到來(lái)的與安全風(fēng)險(xiǎn)無(wú)關(guān)的定期維護(hù)更新?!痹摴景l(fā)表聲明稱(chēng)。

至于中興通訊,,該公司在一份聲明中表示,,它“已經(jīng)推送安全更新,今天也在與運(yùn)營(yíng)商合作推送修復(fù)這些問(wèn)題的維護(hù)更新,。中興通訊將繼續(xù)與技術(shù)合作伙伴和運(yùn)營(yíng)商客戶(hù)合作,,未來(lái)持續(xù)提供維護(hù)更新,繼續(xù)保護(hù)消費(fèi)者的設(shè)備,?!?/p>

AT&T的一位發(fā)言人證實(shí),該運(yùn)營(yíng)商已經(jīng)“部署了制造商的軟件補(bǔ)丁來(lái)解決這個(gè)問(wèn)題”,。Verizon和Sprint沒(méi)有回復(fù)記者的置評(píng)請(qǐng)求,。

這一連串的聲明顯示出了進(jìn)展,但也凸顯了一個(gè)關(guān)鍵的問(wèn)題,。斯塔夫魯說(shuō),,這些更新可能需要幾個(gè)月的時(shí)間來(lái)創(chuàng)建和測(cè)試,,需要經(jīng)過(guò)從制造商到運(yùn)營(yíng)商再到客戶(hù)的多重檢驗(yàn)。在你等待更新的過(guò)程中,,你完全無(wú)法自己去解決問(wèn)題,,也無(wú)法早早發(fā)現(xiàn)問(wèn)題的存在。

“有一點(diǎn)是可以確定的,,那就是沒(méi)有人保障消費(fèi)者的安全,。”斯塔夫魯指出,,“該漏洞問(wèn)題在系統(tǒng)中根深蒂固,,消費(fèi)者可能無(wú)法判斷它是否存在。即使他們意識(shí)到它的存在,,他們也毫無(wú)辦法,,只能等待制造商、運(yùn)營(yíng)商或任何更新固件的人來(lái)提供幫助,?!?/p>

與此同時(shí),這一發(fā)現(xiàn)只是Kryptowire最終將公開(kāi)的諸多發(fā)現(xiàn)中的第一個(gè)發(fā)現(xiàn),。(為了讓各家企業(yè)足夠的時(shí)間做出反應(yīng),,它還沒(méi)有公開(kāi)全部的發(fā)現(xiàn)。)

“我們要感謝Kryptowire的安全研究人員為加強(qiáng)Android生態(tài)系統(tǒng)的安全性所做的努力,。他們所概述的問(wèn)題并不影響Android操作系統(tǒng)本身,,但是會(huì)影響設(shè)備上的第三方代碼和應(yīng)用程序?!惫雀璋l(fā)言人在聲明中稱(chēng),。

第三方代碼和那些應(yīng)用程序短期內(nèi)似乎還不會(huì)消失。只要它們還在那里,,那些令人頭痛的潛藏隱患就還會(huì)存在,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀(guān)點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected]