本篇文章1724字,读完约4分钟
在一项针对制造商和运营商造成的固件漏洞的新研究中,华硕、lg、必和必拓和中兴的安卓智能手机成为焦点。
8月11日消息,据《连线》网站报道,研究人员发现,数以百万计的安卓设备在出厂时都存在固件漏洞,很容易受到攻击,所以用户可以说很难防范。
由于安全问题导致的智能手机崩溃通常是自我造成的:你点击了错误的链接,或者安装了有问题的应用程序。但对于数百万的安卓设备来说,这些漏洞早已隐藏在固件中,它们被利用只是时间问题。这是谁造成的?在某种程度上,制造设备的制造商和销售设备的经营者都有责任。
这是移动安全公司kryptowire最新研究和分析的主要结论。Kryptowire详细说明了美国主流运营商销售的10款设备中预先安装的漏洞。kryptowire首席执行官安杰洛·斯塔夫鲁和研究主管瑞安·约翰逊将在周五的黑帽安全会议上展示他们的研究成果。这项研究由美国国土安全部资助。
这些漏洞的潜在后果可能很大,也可能很小,例如锁定设备使其所有者无法使用,秘密访问麦克风和设备的其他功能。
“这个问题不会消失。”——安杰洛·斯塔夫鲁——氪星公司的首席执行官
安卓操作系统允许第三方公司根据自己的喜好修改代码并定制,而这些固件漏洞正是这种开放性的副产品。打开它自己没有错;它使制造商能够寻求差异化,并给人们带来更多选择。谷歌将在今年秋天正式推出android 9 pie,但最终新系统将会有不同的版本。
然而,这些代码更改会带来一些麻烦,包括推迟安全更新。就像?斯塔夫罗和他的团队发现,它们也可能导致固件漏洞,并使用户处于风险之中。
“这个问题不会消失,因为供应链中的许多人想要添加他们自己的应用程序、定制和添加他们自己的代码。这增加了可能受到攻击的范围,并增加了软件出错的可能性。”Stavrou指出,“它们使终端用户暴露在终端用户无法应对的漏洞中。”
Kryptowire关于黑帽的演讲主要集中在华硕、lg、必不可少和中兴的设备上。
Kryptowire的研究并不关注制造商的意图,而是关注由整个安卓生态系统的参与者造成的糟糕代码的普遍问题。
以华硕zenfone v live为例,kryptowire发现这款手机的整个系统都被接管和控制,包括用户屏幕截图和录像、打电话、浏览和修改短信等。
“华硕知道zenfone最近的安全问题,正在努力通过软件更新加快问题的解决。”软件更新将通过无线方式发送给zenfone用户。”华硕在一份声明中表示:“华硕致力于保护用户的安全和隐私。”我们强烈建议所有用户更新到最新的zenfone软件,以确保安全的用户体验。”
在这个阶段,推动更新是华硕唯一能做的事情来解决它造成的混乱。然而,斯塔夫鲁对这一修复过程的有效性表示怀疑。“用户必须接受并安装此修补程序。因此,即使他们将它推送到用户的手机上,用户也可能不会安装更新。”他说。他还指出,在kryptowire测试的一些型号上,更新过程本身被中断了。德国安全公司安全研究实验室最近的一项研究也支持这一发现。
kryptowire详述的攻击基本上要求用户安装应用程序。然而,尽管有一个很好的方法可以正常避免潜在的攻击,即坚持使用谷歌的官方应用商店google play来下载应用程序,Stavrou指出,这些漏洞之所以如此有害,是因为这些应用程序在安装时不需要被授予特殊权限。换句话说,应用程序不需要诱导你提供对你的短信和通话记录的访问。由于有缺陷的固件,它可以轻松而安静地获得你的短信和通话记录。
根据您使用的设备,攻击最终可能会导致各种后果。就中兴通讯的blade spark和blade vantage而言,固件缺陷将允许任何应用程序访问短消息、通话数据和所谓的日志记录(收集各种系统消息,其中可能包括电子邮件地址和gps坐标等敏感信息)。在LG G6(Kryptowire研究报告中最受欢迎的型号)上,该漏洞可能会暴露日志记录或被用来锁定设备,使所有者无法访问它。攻击者还可能重置基本手机,清除其数据和缓存。
"当我们意识到这个漏洞后,我们的团队立即修复了它."基本公共关系部主任shari doherty说。
你不能自己解决这个问题,也不能及早发现问题的存在。
标题:研究称数百万Android设备出货时便存在固件漏洞
地址:http://www.ictaa.cn/hlwxw/9195.html