Kryptowire 报告指出,这些漏洞最大的起因,来自 Android 的开放生态,可说是整个 Android 开放系统生态的副产品。由于生态开放,允许第三方厂商调校程式码并修正系统界面、创造完全不同版本的 Android。也因为这生态,才导致手机的安全漏洞。
他们表示,整个手机的供应链,包括手机制造商、电信商、第三方软件商,很多人都想增加自己的应用程序、客制化程式,这些都增加攻击者可切入的点,也增加软件发生错误的可能性。使用者可能一开始买到手机时并不会察觉到问题,但久而久之,就会发现手机用起来不稳定,跟其他程式会相冲当机等问题。
由于本质上 Android 就是允许让人修改、客制化的系统,目的就是希望给消费者更多选择,因此造成安全上的难度。Kryptowire 表示,这个问题在 Android 的开放生态下不可能消失。
报告主要针对 Asus、Essential、LG、ZTE 4 家厂商的不同手机,其中特别以华硕在美国电信商发售的 Asus Zenfone V Live 为例,说明他们发现的漏洞。这个漏洞可让使用者的截图、视讯纪录、打电话、阅读纪录和简讯等资讯被人窃取。
(Source:Verizon)
华硕自然第一时间就回应,表示他们已修复了那些漏洞,并推送安全更新给用户。
华硕做法就跟所有手机厂商一样,一旦被通报漏洞就即刻修补,并第一时间推送更新。不过,Kryptowire 也指出,目前这种流程还是有相当的问题,首先用户必须接受更新,纵使手机厂商一再试图推送更新,但某些用户就是选择拒绝。
另外,不同的装置也会有不同的问题。他们也以 ZTE Blade Spark 和 Blade Vantage 为例,固件的漏洞导致攻击者让任何应用程序浏览简讯、通话纪录及系统日志档,甚至使用者的 Email、GPS 资讯。
其次,Kryptowire 的研究发现,某些手机厂商推送更新的过程中,由于往往需要时间制作,耗费时间,且可能推出一堆漏洞的更新一次塞给用户,更新程式在推送过程中,往往因传输问题而不完整,无法顺利更新。更糟糕的是,大多数使用者对自己使用装置的漏洞往往一无所知,也不会察觉。
- Many Android devices ship with firmware vulnerabilities, researchers find
(本文由 T客邦 授权转载;首图来源:pixabay)
