研究稱數百萬Android設備出貨時便存在固件漏洞

在一項關於製造商運營商造成的固件漏洞的新研究中,來自華碩、LG、Essential和中興的Android智能手機是焦點所在。

本站科技訊 8月11日消息,據《連線》網站報道,研究人員發現,數以百萬計的Android設備出貨之時便存在固件漏洞,容易受到攻擊,用戶可以說防不勝防。

智能手機因安全問題而崩潰往往是自己造成的:你點擊了錯誤的鏈接,或者安裝了有問題的應用。但對於數以百萬計的Android設備來說,這些漏洞早就潛藏於固件當中,被利用只是遲早的問題。這是誰造成的呢?在某種程度上,製造設備的製造商和銷售設備的運營商都有責任。

這是移動安全公司Kryptowire的最新研究分析得出的主要結論。Kryptowire詳細列出了在美國主流運營商銷售的10款設備中預裝的漏洞。Kryptowire首席執行官安傑羅斯·斯塔夫魯(Angelos Stavrou)和研究總監萊恩·約翰遜(Ryan Johnson)將在週五的Black Hat安全會議上展示他們的研究成果。該項研究是由美國國土安全部資助的。

這些漏洞的潛在後果可大可小,比如鎖住設備讓機主無法使用,秘密訪問設備的麥克風和其他的功能。

“這個問題不會消失。”——Kryptowire首席執行官安傑羅斯·斯塔夫魯

Android操作系統允許第三方公司根據自己的喜好改動代碼和進行定製,而那些固件漏洞正是這種開放性副產品。開放本身沒有什麼問題;它讓廠商能夠尋求差異化,給人們帶來更多的選擇。谷歌將在今年秋天正式推出Android 9 Pie,但最終該新系統將會有各種各樣的版本

不過,那些代碼改動會帶來一些令人頭痛的問題,其中包括安全更新推送的延遲問題。正如?斯塔夫魯和他的團隊所發現的,它們還可能會導致固件漏洞,將用戶置於危險當中。

“這個問題不會消失,因爲供應鏈中的許多人都希望能夠添加自己的應用程序,自定義定製,以及添加自己的代碼。這增加了可被攻擊的範圍,增加了軟件出錯的可能性。”斯塔夫魯指出,“他們讓終端用戶暴露於終端用戶無法應對的漏洞當中。”

Kryptowire在Black Hat上的講話聚焦於來自華碩、LG、Essential和中興通訊的設備。

Kryptowire的研究關注的並不是製造商的意圖,而是整個Android生態系統的參與者共同造成的廣泛存在的代碼低劣問題。

以華碩ZenFone V Live爲例,Kryptowire發現,該款手機的整個系統都被接管控制,包括對用戶屏幕的截圖和視頻錄像、打電話、瀏覽和修改短信等等。

“華碩意識到最近ZenFone的安全問題,正努力通過軟件更新來加快解決問題,軟件更新將無線推送給ZenFone用戶。”華碩在一份聲明中表示,“華碩致力於保障用戶的安全和隱私,我們強烈建議所有的用戶更新到最新的ZenFone軟件,以確保獲得安全的用戶體驗。”

現階段,要解決自己造成的爛攤子,推送更新是華碩唯一能夠做的。但斯塔夫魯對這種修補過程有效性表示懷疑。“用戶必須要接受並安裝這個補丁。所以即使他們把它推送到用戶的手機上,用戶可能也不會去安裝更新。”他說道。他還指出,在Kryptowire測試的一些機型上,更新過程本身就被中斷了。這一發現也得到了德國安全公司Security Research Labs最近的一項研究的支持。

Kryptowire所詳述的攻擊基本上都需要用戶去安裝應用。然而,雖然正常來說可以通過一個不錯的方法來規避潛在的攻擊,即堅持使用谷歌官方應用商店Google Play來下載應用,但斯塔夫魯指出,讓這些漏洞變得如此有害的是那些應用程序在安裝時並不需要授予特別的權限。換句話說,應用程序不必誘使你提供訪問你的短信和通話記錄的權限。得益於存在缺陷的固件,它可以輕而易舉地、悄無聲息地獲取你的短信和通話記錄。

攻擊最終可能會導致各種各樣的後果,具體要看你使用的是什麼設備。就中興Blade Spark和Blade Vantage而言,固件缺陷會允許任何應用程序訪問短信、通話數據和所謂的日誌記錄(收集各種系統消息,可能包括電子郵件地址、GPS座標等敏感信息)。在LG G6(Kryptowire的研究報告中最流行的一款機型)上,漏洞可能會暴露日誌記錄,或者被用來鎖定設備讓機主無法訪問。攻擊者還可能會重置Essential Phone手機,清除它的數據和緩存。

“在我們意識到這個漏洞以後,我們的團隊立即進行了修復。”Essential公關主管莎麗·多爾蒂(Shari Doherty)說道。

你完全無法自己去解決問題,也無法早早發現問題的存在。

LG似乎已經解決了一些潛在的問題,但還沒有完全解決。“LG此前瞭解到了這些漏洞,並已經發布了安全更新來解決這些問題。事實上,報告提到的漏洞大多數都已經被修補,或者已經被納入即將到來的與安全風險無關的定期維護更新。”該公司發表聲明稱。

至於中興通訊,該公司在一份聲明中表示,它“已經推送安全更新,今天也在與運營商合作推送修復這些問題的維護更新。中興通訊將繼續與技術合作夥伴和運營商客戶合作,未來持續提供維護更新,繼續保護消費者的設備。”

AT&T的一位發言人證實,該運營商已經“部署了製造商的軟件補丁來解決這個問題”。Verizon和Sprint沒有回覆記者的置評請求。

一連串的聲明顯示出了進展,但也凸顯了一個關鍵的問題。斯塔夫魯說,這些更新可能需要幾個月的時間來創建和測試,需要經過從製造商到運營商再到客戶的多重檢驗。在你等待更新的過程中,你完全無法自己去解決問題,也無法早早發現問題的存在。

“有一點是可以確定的,那就是沒有人保障消費者的安全。”斯塔夫魯指出,“該漏洞問題在系統中根深蒂固,消費者可能無法判斷它是否存在。即使他們意識到它的存在,他們也毫無辦法,只能等待制造商、運營商或任何更新固件的人來提供幫助。”

與此同時,這一發現只是Kryptowire最終將公開的諸多發現中的第一個發現。(爲了讓各家企業足夠的時間做出反應,它還沒有公開全部的發現。)

“我們要感謝Kryptowire的安全研究人員爲加強Android生態系統的安全性所做的努力。他們所概述的問題並不影響Android操作系統本身,但是會影響設備上的第三方代碼和應用程序。”谷歌發言人在聲明中稱。

第三方代碼和那些應用程序短期內似乎還不會消失。只要它們還在那裡,那些令人頭痛的潛藏隱患就還會存在。(樂邦