146个安全风险在预装的Android应用中被Kryptowire发现

 在美国国土安全部资助的一项研究中，Kryptowire在廉价Android智能手机上发现了预装应用程序造成的严重安全风险。这些应用程序可能是恶意的，可以秘密录制音频、未经用户许可更改设置，甚至授予新权限，这显然与Android设备制造商和运营商的固件密不可分。

在新工具的帮助下，Kryptowire 得以在不需要接触 手机 本体的情况下，扫描固件中存在的漏洞。最终在 29 家制造商的 Android 设备上，查找到了 146 个安全隐患。

在被问及为何特别针对廉价 Android 设备展开软件安全调查时，Kryptowire 首席执行官 Angelos Stavrou 在一封邮件中解释称：这与谷歌对产品的管理态度，有着直接的关系。

Google 可能要求对进入其 Android 生态系统的软件产品进行更彻底的代码分析，并担负起供应商应有的责任。当前政策制定者应要求该公司将最终用户的信息安全负起责任，而不是放任其置于危险之中。

对此，谷歌亦在一封邮件中称：其感谢合作并以负责任的态度来解决和披露此类问题的研究工作。

正如 Kryptowire 研究中发现的那样，预装应用通常为小型、无牌的第三方软件，其被嵌入到了较大的品牌制造商的预装功能中。

然而这类应用很容易构成重要的安全威胁，因为与其它类型的 App 相比，预装应用的权限要大得多、且很难被应用删除。

在 2017 年于拉斯维加斯举办的黑帽网络安全大会上，Kryptowire 披露了上海 Adups Technology 生产的廉价手机中的类似安全威胁。该手机的预装软件被发现会将用户的设备数据发送到该公司在上海的服务器，而不会提醒这些用户，后续其声称该问题已得到解决。

2018 年的时候，Kryptowire 发布了面向 25 款 Android 入门机型预装固件缺陷的研究，同年谷歌推出了 Test Suite，以部分解决这方面的问题。

尽管 Kryptowire 曝光的事情每年都难以避免，不过 Stavrou 认为，谷歌的整体安全策略，还是有所改善的。

他表示：“保护软件供应链是一个非常复杂的问题，谷歌和安全研究界一直在努力解决该问题”。

今年，在黑帽安全大会(Black Hat 2019)上，谷歌安全研究员Maddie Stone表示：

“有100到400个预装的Android设备应用程序，在黑客看来，他只需迫使一家公司捆绑恶意应用程序而不必说服成千上万的用户。”