在一项由美国国土安全部资助的研究中,氪星发现在廉价安卓智能手机上预装应用程序会导致严重的安全风险。这些应用程序有潜在的恶意活动,例如秘密录制音频、未经用户许可更改设置,甚至授予自己新的权限——。这显然与安卓设备制造商和运营商的固件无关。
类型的比例(图片来源:Kyrptowire,通过Cnet)
在新工具的帮助下,氪星线能够在不接触手机机身的情况下扫描固件中的漏洞。最后,在29家制造商的安卓设备上发现了146个安全风险。
当被问及为什么专门针对廉价安卓设备进行软件安全调查时,氪星公司首席执行官安杰洛斯·斯塔夫鲁(Angelos Stavrou)在一封电子邮件中解释道:这与谷歌对产品的管理态度直接相关。
谷歌可能需要对进入其安卓生态系统的软件产品进行更彻底的代码分析,并承担供应商的责任。
当前的政策制定者应该要求公司对最终用户的信息安全负责,而不是将他们置于风险之中。
对此,谷歌在一封电子邮件中也表示:感谢它在解决和披露这类问题的研究工作方面的合作和负责任的态度。
正如氪星线的研究中发现的,预安装的应用程序通常是小型的、未经许可的第三方软件,嵌入在较大品牌制造商的预安装功能中。
但是,这种应用程序很容易造成重要的安全威胁,因为与其他类型的应用程序相比,预安装的应用程序具有更大的权限,并且很难被应用程序删除。
在2017年拉斯维加斯举行的黑帽网络安全会议上,氪星线公司披露了上海阿杜普科技制造的廉价手机中存在类似的安全威胁。
发现手机的预装软件将用户的设备数据发送到上海的公司服务器,而没有提醒这些用户,这些用户后来声称问题已经解决。
2018年,氪星线发布了一项针对25款安卓入门级机型预装固件缺陷的研究。同年,谷歌推出了测试套件来部分解决这个问题。
尽管氪星线的泄露每年都是不可避免的,斯塔夫鲁相信谷歌的整体安全策略已经有所改善。
他说:“保护软件供应链是一个非常复杂的问题,谷歌和安全研究团体一直在努力解决这个问题”。
在今年的黑帽2019大会上,谷歌安全研究员麦迪·斯通说:
“安卓设备共有100到400个常见的预装应用。从恶意行为者的角度来看,他只需要说服一家公司打包恶意应用,而不是成千上万的用户”。
极牛网精选文章《廉价 Android 手机的预装应用存在严重安全风险》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4642.html