当前位置:首页 > 智能硬件 > 智能硬件
[导读]研究人员发现,数以百万计的Android设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。

据《连线》网站报道,研究人员发现,数以百万计的Android设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。

智能手机因安全问题而崩溃往往是自己造成的:你点击了错误的链接,或者安装了有问题的应用。但对于数以百万计的Android设备来说,这些漏洞早就潜藏于固件当中,被利用只是迟早的问题。这是谁造成的呢?在某种程度上,制造设备的制造商和销售设备的运营商都有责任。

这是移动安全公司Kryptowire的最新研究分析得出的主要结论。Kryptowire详细列出了在美国主流运营商销售的10款设备中预装的漏洞。Kryptowire首席执行官安杰罗斯·斯塔夫鲁(Angelos Stavrou)和研究总监莱恩·约翰逊(Ryan Johnson)将在周五的Black Hat安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。

这些漏洞的潜在后果可大可小,比如锁住设备让机主无法使用,秘密访问设备的麦克风和其他的功能。

“这个问题不会消失。”——Kryptowire首席执行官安杰罗斯·斯塔夫鲁

Android操作系统允许第三方公司根据自己的喜好改动代码和进行定制,而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题;它让厂商能够寻求差异化,给人们带来更多的选择。谷歌将在今年秋天正式推出Android 9 Pie,但最终该新系统将会有各种各样的版本。

不过,那些代码改动会带来一些令人头痛的问题,其中包括安全更新推送的延迟问题。正如?斯塔夫鲁和他的团队所发现的,它们还可能会导致固件漏洞,将用户置于危险当中。

“这个问题不会消失,因为供应链中的许多人都希望能够添加自己的应用程序,自定义定制,以及添加自己的代码。这增加了可被攻击的范围,增加了软件出错的可能性。”斯塔夫鲁指出,“他们让终端用户暴露于终端用户无法应对的漏洞当中。”

Kryptowire在Black Hat上的讲话聚焦于来自华硕、LG、Essential和中兴通讯的设备。

Kryptowire的研究关注的并不是制造商的意图,而是整个Android生态系统的参与者共同造成的广泛存在的代码低劣问题。

以华硕ZenFone V Live为例,Kryptowire发现,该款手机的整个系统都被接管控制,包括对用户屏幕的截图和录像、打电话、浏览和修改短信等等。

“华硕意识到最近ZenFone的安全问题,正努力通过软件更新来加快解决问题,软件更新将无线推送给ZenFone用户。”华硕在一份声明中表示,“华硕致力于保障用户的安全和隐私,我们强烈建议所有的用户更新到最新的ZenFone软件,以确保获得安全的用户体验。”

现阶段,要解决自己造成的烂摊子,推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上,用户可能也不会去安装更新。”他说道。他还指出,在Kryptowire测试的一些机型上,更新过程本身就被中断了。这一发现也得到了德国安全公司Security Research Labs最近的一项研究的支持。

Kryptowire所详述的攻击基本上都需要用户去安装应用。然而,虽然正常来说可以通过一个不错的方法来规避潜在的攻击,即坚持使用谷歌官方应用商店Google Play来下载应用,但斯塔夫鲁指出,让这些漏洞变得如此有害的是那些应用程序在安装时并不需要授予特别的权限。换句话说,应用程序不必诱使你提供访问你的短信和通话记录的权限。得益于存在缺陷的固件,它可以轻而易举地、悄无声息地获取你的短信和通话记录。

攻击最终可能会导致各种各样的后果,具体要看你使用的是什么设备。就中兴Blade Spark和Blade Vantage而言,固件缺陷会允许任何应用程序访问短信、通话数据和所谓的日志记录(收集各种系统消息,可能包括电子邮件地址、GPS坐标等敏感信息)。在LG G6(Kryptowire的研究报告中最流行的一款机型)上,漏洞可能会暴露日志记录,或者被用来锁定设备让机主无法访问。攻击者还可能会重置Essential Phone手机,清除它的数据和缓存。

“在我们意识到这个漏洞以后,我们的团队立即进行了修复。”Essential公关主管莎丽·多尔蒂(Shari Doherty)说道。

你完全无法自己去解决问题,也无法早早发现问题的存在。

LG似乎已经解决了一些潜在的问题,但还没有完全解决。“LG此前了解到了这些漏洞,并已经发布了安全更新来解决这些问题。事实上,报告提到的漏洞大多数都已经被修补,或者已经被纳入即将到来的与安全风险无关的定期维护更新。”该公司发表声明称。

至于中兴通讯,该公司在一份声明中表示,它“已经推送安全更新,今天也在与运营商合作推送修复这些问题的维护更新。中兴通讯将继续与技术合作伙伴和运营商客户合作,未来持续提供维护更新,继续保护消费者的设备。”

AT&T的一位发言人证实,该运营商已经“部署了制造商的软件补丁来解决这个问题”。Verizon和Sprint没有回复记者的置评请求。

这一连串的声明显示出了进展,但也凸显了一个关键的问题。斯塔夫鲁说,这些更新可能需要几个月的时间来创建和测试,需要经过从制造商到运营商再到客户的多重检验。在你等待更新的过程中,你完全无法自己去解决问题,也无法早早发现问题的存在。

“有一点是可以确定的,那就是没有人保障消费者的安全。”斯塔夫鲁指出,“该漏洞问题在系统中根深蒂固,消费者可能无法判断它是否存在。即使他们意识到它的存在,他们也毫无办法,只能等待制造商、运营商或任何更新固件的人来提供帮助。”

与此同时,这一发现只是Kryptowire最终将公开的诸多发现中的第一个发现。(为了让各家企业足够的时间做出反应,它还没有公开全部的发现。)

“我们要感谢Kryptowire的安全研究人员为加强Android生态系统的安全性所做的努力。他们所概述的问题并不影响Android操作系统本身,但是会影响设备上的第三方代码和应用程序。”谷歌发言人在声明中称。

第三方代码和那些应用程序短期内似乎还不会消失。只要它们还在那里,那些令人头痛的潜藏隐患就还会存在。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭