|
Kryptowire在預裝Android應用中發(fā)現了146個安全風險 ? 太平洋電腦網 11-16 16:19廣東太平洋互聯網信息服務有限公司 關注 在美國國土安全部資助的一項研究中����,Kryptowire 在廉價的 Android 智能機上����,發(fā)現了由預裝應用造成的嚴重安全風險。 這些 App 存在潛在的惡意活動����,可能秘密錄制音頻、未經用戶許可就變更設置����、甚至授予自身新的權限 —— 這顯然與 Android 設備制造商和運營商的固件脫不了干系。
? 類型占比 (圖自: Kyrptowire ����,via Cnet )
在新工具的幫助下,Kryptowire 得以在不需要接觸 手機 本體的情況下����,掃描固件中存在的漏洞。最終在 29 家制造商的 Android 設備上����,查找到了 146 個安全隱患����。
在被問及為何特別針對廉價 Android 設備展開軟件安全調查時����,Kryptowire 首席執(zhí)行官 Angelos Stavrou 在一封郵件中解釋稱:這與谷歌對產品的管理態(tài)度,有著直接的關系����。
Google 可能要求對進入其 Android 生態(tài)系統(tǒng)的軟件產品進行更徹底的代碼分析,并擔負起供應商應有的責任����。 當前政策制定者應要求該公司將最終用戶的信息安全負起責任����,而不是放任其置于危險之中。
對此����,谷歌亦在一封郵件中稱:其感謝合作并以負責任的態(tài)度來解決和披露此類問題的研究工作。
? ( 廠商列表 )
正如 Kryptowire 研究中發(fā)現的那樣����,預裝應用通常為小型����、無牌的第三方軟件����,其被嵌入到了較大的品牌制造商的預裝功能中。
然而這類應用很容易構成重要的安全威脅����,因為與其它類型的 App 相比,預裝應用的權限要大得多����、且很難被應用刪除。
在 2017 年于拉斯維加斯舉辦的黑帽網絡安全大會上����,Kryptowire 披露了上海 Adups Technology 生產的廉價手機中的類似安全威脅。 該手機的預裝軟件被發(fā)現會將用戶的設備數據發(fā)送到該公司在上海的服務器����,而不會提醒這些用戶,后續(xù)其聲稱該問題已得到解決。
2018 年的時候����,Kryptowire 發(fā)布了面向 25 款 Android 入門機型預裝固件缺陷的研究,同年谷歌推出了 Test Suite����,以部分解決這方面的問題。
? (部分漏洞詳情)
盡管 Kryptowire 曝光的事情每年都難以避免����,不過 Stavrou 認為,谷歌的整體安全策略����,還是有所改善的。
他表示:“保護軟件供應鏈是一個非常復雜的問題����,谷歌和安全研究界一直在努力解決該問題”����。
在今年黑帽安全會議(Black Hat 2019)的演示期間,谷歌安全研究員 Maddie Stone 表示:
“Android 設備的常見預裝 App 有 100~400 款����,從惡意行為者的角度來看����,他只需說服一家企業(yè)來打包惡意 App����,而無需說服成千上萬的用戶”。
【來源:cnBeta.COM】
|
