美国国土安全部研究指 Android 手机问题多,系统开放生态是原罪
根据 Wired 报导,资安公司 Kryptowire 发现,许多 Android 手机的程式码都含有不同
漏洞,安全专家研究了十款美国电信商发售不同公司的主流行动装置韧体,发现都有漏洞
,导致攻击者可锁定手机,并取得装置控制权。
这项研究是由美国国土安全部委托研究,在美国黑帽资安论坛发表,由 Kryptowire 执行
长 Angelos Stavrou 和研究主管 Ryan Johnson 发表。他们表示,这些漏洞让有心人锁
定手机特定功能并取得允许权,且形式不固定,不易被察觉。
Kryptowire 报告指出,这些漏洞最大的起因,来自 Android 的开放生态,可说是整个
Android 开放系统生态的副产品。由于生态开放,允许第三方厂商调校程式码并修正系统
接口、创造完全不同版本的 Android。也因为这生态,才导致手机的安全漏洞。
他们表示,整个手机的供应链,包括手机制造商、电信商、第三方软件商,很多人都想增
加自己的应用程式、客制化程式,这些都增加攻击者可切入的点,也增加软件发生错误的
可能性。使用者可能一开始买到手机时并不会察觉到问题,但久而久之,就会发现手机用
起来不稳定,跟其他程式会相冲当机等问题。
由于本质上 Android 就是允许让人修改、客制化的系统,目的就是希望给消费者更多选
择,因此造成安全上的难度。Kryptowire 表示,这个问题在 Android 的开放生态下不可
能消失。
报告主要针对 Asus、Essential、LG、ZTE 4 家厂商的不同手机,其中特别以华硕在美国
电信商发售的 Asus Zenfone V Live 为例,说明他们发现的漏洞。这个漏洞可让使用者
的截图、视讯纪录、打电话、阅读纪录和短信等资讯被人窃取。
华硕自然第一时间就回应,表示他们已修复了那些漏洞,并推送安全更新给用户。
华硕做法就跟所有手机厂商一样,一旦被通报漏洞就即刻修补,并第一时间推送更新。不
过,Kryptowire 也指出,目前这种流程还是有相当的问题,首先用户必须接受更新,纵
使手机厂商一再试图推送更新,但某些用户就是选择拒绝。
另外,不同的装置也会有不同的问题。他们也以 ZTE Blade Spark 和 Blade Vantage 为
例,韧体的漏洞导致攻击者让任何应用程式浏览短信、通话纪录及系统日志档,甚至使用
者的 Email、GPS 资讯。
其次,Kryptowire 的研究发现,某些手机厂商推送更新的过程中,由于往往需要时间制
作,耗费时间,且可能推出一堆漏洞的更新一次塞给用户,更新程式在推送过程中,往往
因传输问题而不完整,无法顺利更新。更糟糕的是,大多数使用者对自己使用装置的漏洞
往往一无所知,也不会察觉。
https://goo.gl/a7m2jF