【騰訊科技編者按】在我們傳統的印象中,智能手機的安全問題大部分都是由於我們自己操作不當造成的,比如點擊了不安全的鏈接、安裝了錯誤的應用程序等等。但對於成百上千萬的安卓設備來說,其實造成這種局面的根本原因就是設備本身存在漏洞,並且被隱藏在固件中,只是等待著被用戶“不小心”發現或利用而已。那麼這些漏洞是誰“造成”的呢?有兩種可能,有些是智能手機制造商,還有一些可能是將手機賣給你的運營商。
這個新發現來自於移動安全公司Kryptowire的最新研究報告,該公司詳細介紹在10部由美國主要運營商銷售的智能手機中“自帶”的大量令人不安的漏洞。Kryptowire首席執行官Angelos Stavrou和研究主管Ryan Johnson在本週五的黑帽安全會議上公佈了自己最新的研究成果,該項目主要是由美國國土安全部負責資助。
這些漏洞在造成潛在後果的嚴重程度上,可以讓不法之徒秘密鎖定設備的麥克風以及其它功能的權限。這些漏洞都有一個共同的特點:形式不固定,不易被發現。
相反,這些漏洞算是安卓這種開放性操作系統的“副產品”,可以讓第三方公司根據自己的喜好任意修改代碼。從本質上來說,這並沒有什麼錯誤:安卓本身就允許被修改,給人們更多的選擇。比如谷歌在今年秋天發佈的新一代Android Pie操作系統,同樣也會有各種各樣的定製版本。
不過這些修改過的系統導致出現了令人頭疼的問題,包括安全更新方面的延遲。就像Stavrou和他的團隊所發現的問題一樣,這些漏洞會導致固件出現錯誤,將用戶置於危險中。
“這些問題不會消失,因為在整個智能手機的供應鏈環節中,有很多人都希望能夠添加自己的應用程序,添加自己的代碼。這也增加了智能手機被攻擊的風險,提高了軟件出現錯誤的可能性。”Stavrou表示。“正是這樣的趨勢,讓用戶手中的終端最終出現了各種各樣的問題。”
這次黑帽會議主要研究的設備集中在了華碩、LG、Essential和中興等幾款設備上。
在獲得DHS資助時,Kryptowire的研究並沒有提到這一點,在研究的初期團隊並未關注製造商的意圖,而是著眼於更廣泛的安卓生態系統參與者如何“助長”了這種糟糕的代碼問題。
以華碩ZenFone V Live為例,Kryptowire公司發現,漏洞可以讓用戶被暴露在整個系統的接管過程中,包括對用戶的截屏、視頻記錄、打電話、閱讀記錄和短信修改等。
隨後,華碩立即發表了一份聲明:“我們已經意識到外界對ZenFone安全性的擔憂,並且第一時間努力修復和解決這些問題。我們將通過軟件升級的方式解決這些問題,同時會陸續向ZenFone用戶推送升級通知。華碩致力於不斷提高用戶的安全和隱私,我們積極鼓勵所有用戶第一時間更新到最新版本系統,確保智能手機的安全性。”
華碩能擁有如此迅速的反應,是非常讓人稱道的。但Stavrou要質疑的是這種修復程序的有效性。“用戶必須接受這個補丁,但當製造商將更新不斷推送到智能手機上時,還是有用戶拒絕更新。”他還指出,在Kryptowire測試的一些型號中,更新在過程中就已經被破壞,而這一發現也得到了德國安全研究實驗室最新的一項研究成果的支持。
根據Kryptowire的研究結果顯示,想要進行攻擊,大部分都需要用戶安裝特定的應用程序,有些應用的漏洞甚至不需要獲取特殊權限。換句話說,應用本身不會造成危害,但由於它們會訪問你的文本,調取系統日誌,就會讓系統本身的漏洞暴露無遺。
而不同的設備,這種情況也會引發不同的後果。比如中興Blade Spark和Blade Vantage,固件缺陷可以允許任何應用程序訪問文本消息、通話記錄以及系統日誌文件,另外還包括諸如電子郵件和GPS座標這樣的敏感信息。而在Kryptowire的報告上,問題最嚴重的是LG G6,漏洞不僅會曝光系統日誌,而且還可以遠程將用戶的設備鎖定。攻擊者可以將智能手機重新還原,並且清除掉數據和緩存。
“我們發現漏洞後,團隊就已經開始著手修復。”LG通訊部門主管Shari Doherty表示。
LG似乎已經解決了一些問題,但並不是所有問題。“公司已經意識到這些漏洞的存在,並且引入了安全更新來解決這些問題。事實上,報告中提到的大部分漏洞都已經被修復,或者被列入了即將維護更新的名單中,這些更新與安全風險無關。”LG在一份聲明中表示。
中興也已經發表了聲明,表示已經或正在與運營商合作,來提供修復這些問題的更新。“中興會繼續與合作伙伴及運營商合作,持續為用戶提供更新版本,保護消費者的設備。”
AT&T的發言人已經表示,公司開始部署製造商的軟件補丁來解決問題。Verizon、T-Mobile和Sprint暫時還沒有對此問題進行回應。
通過這一系列的聲明和進展,我們看到了關鍵問題的所在。Stavrou表示,這些更新可能需要幾個月的時間來創建和測試,對製造商和運營商來說都是一種挑戰。對用戶來說,能做的只有等待,因為這個問題用戶自己無法解決,甚至根本就意識不到。
閱讀更多 黔看看 的文章
