Kryptowire在預裝Android應用中發現了146個安全風險

2019-11-19 16:00:19
         

      在美國國土安全部資助的一項研究中,Kryptowire 在廉價的 Android 智能機上,發現  了由預裝應用造成的嚴重安全風險。這些 App 存在潛在的惡意活動,可能秘密錄制音頻、未經用戶許可就變更設置、甚至授予自身新的權限 —— 這顯然與 Android 設備制造商和運營商的固件脫不了干系。

     在新工具的幫助下,Kryptowire 得以在不需要接觸手機本體的情況下,掃描固件中存在的漏洞。最終在 29 家制造商的 Android 設備上,查找到了 146 個安全隱患。

    在被問及為何特別針對廉價 Android 設備展開軟件安全調查時,Kryptowire 首席執行官 Angelos Stavrou 在一封郵件中解釋稱:這與谷歌對產品的管理態度,有著直接的關系。         Google 可能要求對進入其 Android 生態系統的軟件產品進行更徹底的代碼分析,并擔負起供應商應有的責任。

    當前政策制定者應要求該公司將最終用戶的信息安全負起責任,而不是放任其置于危險之中。

    對此,谷歌亦在一封郵件中稱:其感謝合作并以負責任的態度來解決和披露此類問題的研究工作。

    正如 Kryptowire 研究中發現的那樣,預裝應用通常為小型、無牌的第三方軟件,其被嵌入到了較大的品牌制造商的預裝功能中。

   然而這類應用很容易構成重要的安全威脅,因為與其它類型的 App 相比,預裝應用的權限要大得多、且很難被應用刪除。

   在 2017 年于拉斯維加斯舉辦的黑帽網絡安全大會上,Kryptowire 披露了上海 Adups Technology 生產的廉價手機中的類似安全威脅。

    該手機的預裝軟件被發現會將用戶的設備數據發送到該公司在上海的服務器,而不會提醒這些用戶,后續其聲稱該問題已得到解決。

    2018 年的時候,Kryptowire 發布了面向 25 款 Android 入門機型預裝固件缺陷的研究,同年谷歌推出了 Test Suite,以部分解決這方面的問題。

    盡管 Kryptowire 曝光的事情每年都難以避免,不過 Stavrou 認為,谷歌的整體安全策略,還是有所改善的。

    他表示:“?;と砑┯α詞且桓齜淺8叢擁奈侍?,谷歌和安全研究界一直在努力解決該問題”。

     在今年黑帽安全會議(Black Hat 2019)的演示期間,谷歌安全研究員 Maddie Stone 表示:

    “Android 設備的常見預裝 App 有 100~400 款,從惡意行為者的角度來看,他只需說服一家企業來打包惡意 App,而無需說服成千上萬的用戶”。