研究称数百万Android设备出货时便存在固件漏洞

本篇文章1724字，读完约4分钟

在一项针对制造商和运营商造成的固件漏洞的新研究中，华硕、lg、必和必拓和中兴的安卓智能手机成为焦点。

8月11日消息，据《连线》网站报道，研究人员发现，数以百万计的安卓设备在出厂时都存在固件漏洞，很容易受到攻击，所以用户可以说很难防范。

由于安全问题导致的智能手机崩溃通常是自我造成的:你点击了错误的链接，或者安装了有问题的应用程序。但对于数百万的安卓设备来说，这些漏洞早已隐藏在固件中，它们被利用只是时间问题。这是谁造成的？在某种程度上，制造设备的制造商和销售设备的经营者都有责任。

这是移动安全公司kryptowire最新研究和分析的主要结论。Kryptowire详细说明了美国主流运营商销售的10款设备中预先安装的漏洞。kryptowire首席执行官安杰洛·斯塔夫鲁和研究主管瑞安·约翰逊将在周五的黑帽安全会议上展示他们的研究成果。这项研究由美国国土安全部资助。

这些漏洞的潜在后果可能很大，也可能很小，例如锁定设备使其所有者无法使用，秘密访问麦克风和设备的其他功能。

“这个问题不会消失。”——安杰洛·斯塔夫鲁——氪星公司的首席执行官

安卓操作系统允许第三方公司根据自己的喜好修改代码并定制，而这些固件漏洞正是这种开放性的副产品。打开它自己没有错；它使制造商能够寻求差异化，并给人们带来更多选择。谷歌将在今年秋天正式推出android 9 pie，但最终新系统将会有不同的版本。

然而，这些代码更改会带来一些麻烦，包括推迟安全更新。就像？斯塔夫罗和他的团队发现，它们也可能导致固件漏洞，并使用户处于风险之中。

“这个问题不会消失，因为供应链中的许多人想要添加他们自己的应用程序、定制和添加他们自己的代码。这增加了可能受到攻击的范围，并增加了软件出错的可能性。”Stavrou指出，“它们使终端用户暴露在终端用户无法应对的漏洞中。”

Kryptowire关于黑帽的演讲主要集中在华硕、lg、必不可少和中兴的设备上。

Kryptowire的研究并不关注制造商的意图，而是关注由整个安卓生态系统的参与者造成的糟糕代码的普遍问题。

以华硕zenfone v live为例，kryptowire发现这款手机的整个系统都被接管和控制，包括用户屏幕截图和录像、打电话、浏览和修改短信等。

“华硕知道zenfone最近的安全问题，正在努力通过软件更新加快问题的解决。”软件更新将通过无线方式发送给zenfone用户。”华硕在一份声明中表示:“华硕致力于保护用户的安全和隐私。”我们强烈建议所有用户更新到最新的zenfone软件，以确保安全的用户体验。”

在这个阶段，推动更新是华硕唯一能做的事情来解决它造成的混乱。然而，斯塔夫鲁对这一修复过程的有效性表示怀疑。“用户必须接受并安装此修补程序。因此，即使他们将它推送到用户的手机上，用户也可能不会安装更新。”他说。他还指出，在kryptowire测试的一些型号上，更新过程本身被中断了。德国安全公司安全研究实验室最近的一项研究也支持这一发现。

kryptowire详述的攻击基本上要求用户安装应用程序。然而，尽管有一个很好的方法可以正常避免潜在的攻击，即坚持使用谷歌的官方应用商店google play来下载应用程序，Stavrou指出，这些漏洞之所以如此有害，是因为这些应用程序在安装时不需要被授予特殊权限。换句话说，应用程序不需要诱导你提供对你的短信和通话记录的访问。由于有缺陷的固件，它可以轻松而安静地获得你的短信和通话记录。

根据您使用的设备，攻击最终可能会导致各种后果。就中兴通讯的blade spark和blade vantage而言，固件缺陷将允许任何应用程序访问短消息、通话数据和所谓的日志记录(收集各种系统消息，其中可能包括电子邮件地址和gps坐标等敏感信息)。在LG G6(Kryptowire研究报告中最受欢迎的型号)上，该漏洞可能会暴露日志记录或被用来锁定设备，使所有者无法访问它。攻击者还可能重置基本手机，清除其数据和缓存。

"当我们意识到这个漏洞后，我们的团队立即修复了它."基本公共关系部主任shari doherty说。

你不能自己解决这个问题，也不能及早发现问题的存在。