研究稱(chēng)數百萬(wàn)Android設備出貨時(shí)便存在固件漏洞

　　據《連線(xiàn)》網(wǎng)站報道，研究人員發(fā)現，數以百萬(wàn)計的Android設備出貨之時(shí)便存在固件漏洞，容易受到攻擊，用戶(hù)可以說(shuō)防不勝防。

　　智能手機因安全問(wèn)題而崩潰往往是自己造成的：你點(diǎn)擊了錯誤的鏈接，或者安裝了有問(wèn)題的應用。但對于數以百萬(wàn)計的Android設備來(lái)說(shuō)，這些漏洞早就潛藏于固件當中，被利用只是遲早的問(wèn)題。這是誰(shuí)造成的呢?在某種程度上，制造設備的制造商和銷(xiāo)售設備的運營(yíng)商都有責任。

　　這是移動(dòng)安全公司Kryptowire的最新研究分析得出的主要結論。Kryptowire詳細列出了在美國主流運營(yíng)商銷(xiāo)售的10款設備中預裝的漏洞。Kryptowire首席執行官安杰羅斯·斯塔夫魯(Angelos Stavrou)和研究總監萊恩·約翰遜(Ryan Johnson)將在周五的Black Hat安全會(huì )議上展示他們的研究成果。該項研究是由美國國土安全部資助的。

　　這些漏洞的潛在后果可大可小，比如鎖住設備讓機主無(wú)法使用，秘密訪(fǎng)問(wèn)設備的麥克風(fēng)和其他的功能。

　　“這個(gè)問(wèn)題不會(huì )消失?！薄狵ryptowire首席執行官安杰羅斯·斯塔夫魯

　　Android操作系統允許第三方公司根據自己的喜好改動(dòng)代碼和進(jìn)行定制，而那些固件漏洞正是這種開(kāi)放性的副產(chǎn)品。開(kāi)放本身沒(méi)有什么問(wèn)題;它讓廠(chǎng)商能夠尋求差異化，給人們帶來(lái)更多的選擇。谷歌將在今年秋天正式推出Android 9 Pie，但最終該新系統將會(huì )有各種各樣的版本。

　　不過(guò)，那些代碼改動(dòng)會(huì )帶來(lái)一些令人頭痛的問(wèn)題，其中包括安全更新推送的延遲問(wèn)題。正如斯塔夫魯和他的團隊所發(fā)現的，它們還可能會(huì )導致固件漏洞，將用戶(hù)置于危險當中。

　　“這個(gè)問(wèn)題不會(huì )消失，因為供應鏈中的許多人都希望能夠添加自己的應用程序，自定義定制，以及添加自己的代碼。這增加了可被攻擊的范圍，增加了軟件出錯的可能性?！彼顾螋斨赋?，“他們讓終端用戶(hù)暴露于終端用戶(hù)無(wú)法應對的漏洞當中?！?/p>

　　Kryptowire在Black Hat上的講話(huà)聚焦于來(lái)自華碩、LG、Essential和中興通訊的設備。

　　Kryptowire的研究關(guān)注的并不是制造商的意圖，而是整個(gè)Android生態(tài)系統的參與者共同造成的廣泛存在的代碼低劣問(wèn)題。

　　以華碩ZenFone V Live為例，Kryptowire發(fā)現，該款手機的整個(gè)系統都被接管控制，包括對用戶(hù)屏幕的截圖和視頻錄像、打電話(huà)、瀏覽和修改短信等等。

　　“華碩意識到最近ZenFone的安全問(wèn)題，正努力通過(guò)軟件更新來(lái)加快解決問(wèn)題，軟件更新將無(wú)線(xiàn)推送給ZenFone用戶(hù)?！比A碩在一份聲明中表示，“華碩致力于保障用戶(hù)的安全和隱私，我們強烈建議所有的用戶(hù)更新到最新的ZenFone軟件，以確保獲得安全的用戶(hù)體驗?！?/p>

　　現階段，要解決自己造成的爛攤子，推送更新是華碩唯一能夠做的。但斯塔夫魯對這種修補過(guò)程的有效性表示懷疑?！坝脩?hù)必須要接受并安裝這個(gè)補丁。所以即使他們把它推送到用戶(hù)的手機上，用戶(hù)可能也不會(huì )去安裝更新?！彼f(shuō)道。他還指出，在Kryptowire測試的一些機型上，更新過(guò)程本身就被中斷了。這一發(fā)現也得到了德國安全公司Security Research Labs最近的一項研究的支持。

　　Kryptowire所詳述的攻擊基本上都需要用戶(hù)去安裝應用。然而，雖然正常來(lái)說(shuō)可以通過(guò)一個(gè)不錯的方法來(lái)規避潛在的攻擊，即堅持使用谷歌官方應用商店Google Play來(lái)下載應用，但斯塔夫魯指出，讓這些漏洞變得如此有害的是那些應用程序在安裝時(shí)并不需要授予特別的權限。換句話(huà)說(shuō)，應用程序不必誘使你提供訪(fǎng)問(wèn)你的短信和通話(huà)記錄的權限。得益于存在缺陷的固件，它可以輕而易舉地、悄無(wú)聲息地獲取你的短信和通話(huà)記錄。

　　攻擊最終可能會(huì )導致各種各樣的后果，具體要看你使用的是什么設備。就中興Blade Spark和Blade Vantage而言，固件缺陷會(huì )允許任何應用程序訪(fǎng)問(wèn)短信、通話(huà)數據和所謂的日志記錄(收集各種系統消息，可能包括電子郵件地址、GPS坐標等敏感信息)。在LG G6(Kryptowire的研究報告中最流行的一款機型)上，漏洞可能會(huì )暴露日志記錄，或者被用來(lái)鎖定設備讓機主無(wú)法訪(fǎng)問(wèn)。攻擊者還可能會(huì )重置Essential Phone手機，清除它的數據和緩存。

　　“在我們意識到這個(gè)漏洞以后，我們的團隊立即進(jìn)行了修復?！盓ssential公關(guān)主管莎麗·多爾蒂(Shari Doherty)說(shuō)道。

　　你完全無(wú)法自己去解決問(wèn)題，也無(wú)法早早發(fā)現問(wèn)題的存在。

　　LG似乎已經(jīng)解決了一些潛在的問(wèn)題，但還沒(méi)有完全解決?！癓G此前了解到了這些漏洞，并已經(jīng)發(fā)布了安全更新來(lái)解決這些問(wèn)題。事實(shí)上，報告提到的漏洞大多數都已經(jīng)被修補，或者已經(jīng)被納入即將到來(lái)的與安全風(fēng)險無(wú)關(guān)的定期維護更新?！痹摴景l(fā)表聲明稱(chēng)。

　　至于中興通訊，該公司在一份聲明中表示，它“已經(jīng)推送安全更新，今天也在與運營(yíng)商合作推送修復這些問(wèn)題的維護更新。中興通訊將繼續與技術(shù)合作伙伴和運營(yíng)商客戶(hù)合作，未來(lái)持續提供維護更新，繼續保護消費者的設備?！?/p>

　　AT&T的一位發(fā)言人證實(shí)，該運營(yíng)商已經(jīng)“部署了制造商的軟件補丁來(lái)解決這個(gè)問(wèn)題”。Verizon和Sprint沒(méi)有回復記者的置評請求。

　　這一連串的聲明顯示出了進(jìn)展，但也凸顯了一個(gè)關(guān)鍵的問(wèn)題。斯塔夫魯說(shuō)，這些更新可能需要幾個(gè)月的時(shí)間來(lái)創(chuàng )建和測試，需要經(jīng)過(guò)從制造商到運營(yíng)商再到客戶(hù)的多重檢驗。在你等待更新的過(guò)程中，你完全無(wú)法自己去解決問(wèn)題，也無(wú)法早早發(fā)現問(wèn)題的存在。

　　“有一點(diǎn)是可以確定的，那就是沒(méi)有人保障消費者的安全?！彼顾螋斨赋?，“該漏洞問(wèn)題在系統中根深蒂固，消費者可能無(wú)法判斷它是否存在。即使他們意識到它的存在，他們也毫無(wú)辦法，只能等待制造商、運營(yíng)商或任何更新固件的人來(lái)提供幫助?！?/p>

　　與此同時(shí)，這一發(fā)現只是Kryptowire最終將公開(kāi)的諸多發(fā)現中的第一個(gè)發(fā)現。(為了讓各家企業(yè)足夠的時(shí)間做出反應，它還沒(méi)有公開(kāi)全部的發(fā)現。)

　　“我們要感謝Kryptowire的安全研究人員為加強Android生態(tài)系統的安全性所做的努力。他們所概述的問(wèn)題并不影響Android操作系統本身，但是會(huì )影響設備上的第三方代碼和應用程序?！惫雀璋l(fā)言人在聲明中稱(chēng)。

　　第三方代碼和那些應用程序短期內似乎還不會(huì )消失。只要它們還在那里，那些令人頭痛的潛藏隱患就還會(huì )存在。