研究發(fā)現(xiàn)Android的開放性導(dǎo)致設(shè)備附帶漏洞

Android平臺(tái)以安全性不佳而著稱，盡管該系統(tǒng)具有許多優(yōu)勢(shì)和改進(jìn)之處，但情況并沒有得到應(yīng)有的改善。安全公司Kryptowire的最新研究發(fā)現(xiàn)，許多Android設(shè)備都存在一些現(xiàn)成的漏洞，其中包括直接從無(wú)線運(yùn)營(yíng)商處獲得的漏洞。不幸的是，問題的根源來(lái)自Android最大和最古老的優(yōu)點(diǎn)之一：它的開放性和可修改的能力。

Kryptowire發(fā)現(xiàn)了運(yùn)營(yíng)商出售的十種不同手機(jī)，這些手機(jī)開箱即用，都存在安全漏洞和固件漏洞，其中包括華碩，Essential，LG和中興的設(shè)備。這些漏洞的嚴(yán)重程度各不相同，但其中包括安全漏洞，這些漏洞可能導(dǎo)致攻擊，例如被鎖定在設(shè)備之外，無(wú)法遠(yuǎn)程控制攝像頭或麥克風(fēng)。

不幸的是，這些不是通過安全更新輕松修補(bǔ)的漏洞。Kryptowire解釋說，問題的根源在于制造商和運(yùn)營(yíng)商針對(duì)不同目的對(duì)Android進(jìn)行調(diào)整和定制的能力。這導(dǎo)致安全漏洞，不僅難以識(shí)別，而且對(duì)于Android生態(tài)系統(tǒng)的一小部分也是唯一的。Kryptowire的首席執(zhí)行官Angelos Stavrou解釋說：

“問題不會(huì)消失，因?yàn)楣?yīng)鏈中的許多人都希望能夠添加自己的應(yīng)用程序，自定義并添加自己的代碼。這增加了攻擊面，并增加了軟件錯(cuò)誤的可能性。他們使最終用戶遭受最終用戶無(wú)法響應(yīng)的攻擊。”

大多數(shù)利用這些固件漏洞的攻擊都要求用戶安裝帶有惡意代碼的應(yīng)用程序，然后用戶才能工作。不過，最糟糕的例子之一是在華碩的Zenfone V Live智能手機(jī)中發(fā)現(xiàn)的，該智能手機(jī)具有足夠的安全漏洞，可以允許“整個(gè)系統(tǒng)接管，包括拍攝用戶屏幕的屏幕截圖和視頻記錄，撥打電話，閱讀和修改文本消息等等。”

Kryptowire已將發(fā)現(xiàn)的漏洞通知了許多制造商和運(yùn)營(yíng)商，華碩表示已經(jīng)意識(shí)到了這些問題，并且正在“努力并迅速解決這些問題”，并發(fā)布了補(bǔ)丁。Essential，LG和中興表示，它們的某些或全部缺陷已在安全公司通知后得到修復(fù)。

問題再次仍然存在，因?yàn)锳ndroid生態(tài)系統(tǒng)依賴于不同的運(yùn)營(yíng)商根據(jù)自己的時(shí)間表發(fā)布針對(duì)不同設(shè)備的更新，從而使許多用戶等待或完全不知道。