回覆列表
  • 1 # cnBeta

    在美國國土安全部資助的一項研究中,Kryptowire 在廉價的 Android 智慧機上,發現了由預裝應用造成的嚴重安全風險。

    這些 App 存在潛在的惡意活動,可能秘密錄製音訊、未經使用者許可就變更設定、甚至授予自身新的許可權 —— 這顯然與 Android 裝置製造商和運營商的韌體脫不了干係。

    型別佔比(圖自:Kyrptowire,via Cnet)

    在新工具的幫助下,Kryptowire 得以在不需要接觸手機本體的情況下,掃描韌體中存在的漏洞。最終在 29 家制造商的 Android 裝置上,查詢到了 146 個安全隱患。

    在被問及為何特別針對廉價 Android 裝置展開軟體安全調查時,Kryptowire 執行長 Angelos Stavrou 在一封郵件中解釋稱:這與谷歌對產品的管理態度,有著直接的關係。

    Google 可能要求對進入其 Android 生態系統的軟體產品進行更徹底的程式碼分析,並擔負起供應商應有的責任。

    當前政策制定者應要求該公司將終端使用者的資訊保安負起責任,而不是放任其置於危險之中。

    對此,谷歌亦在一封郵件中稱:其感謝合作並以負責任的態度來解決和披露此類問題的研究工作。

    (廠商列表)

    正如 Kryptowire 研究中發現的那樣,預裝應用通常為小型、無牌的第三方軟體,其被嵌入到了較大的品牌製造商的預裝功能中。

    在 2017 年於拉斯維加斯舉辦的黑帽網路安全大會上,Kryptowire 披露了上海 Adups Technology 生產的廉價手機中的類似安全威脅。

    該手機的預裝軟體被發現會將使用者的裝置資料傳送到該公司在上海的伺服器,而不會提醒這些使用者,後續其聲稱該問題已得到解決。

    2018 年的時候,Kryptowire 釋出了面向 25 款 Android 入門機型預裝韌體缺陷的研究,同年谷歌推出了 Test Suite,以部分解決這方面的問題。

    (部分漏洞詳情)

    儘管 Kryptowire 曝光的事情每年都難以避免,不過 Stavrou 認為,谷歌的整體安全策略,還是有所改善的。

    他表示:“保護軟體供應鏈是一個非常複雜的問題,谷歌和安全研究界一直在努力解決該問題”。

    在今年黑帽安全會議(Black Hat 2019)的演示期間,谷歌安全研究員 Maddie Stone 表示:

    “Android 裝置的常見預裝 App 有 100~400 款,從惡意行為者的角度來看,他只需說服一家企業來打包惡意 App,而無需說服成千上萬的使用者”。

  • 中秋節和大豐收的關聯?
  • 建設期利息可以計入總投資的原因是什麼?