研究人员发现很多安卓手机在出货时就存在安全漏洞
据外媒报道,华硕、Essential、LG和中兴都发誓要推出安全补丁,堵塞移动安全公司Kryptowire发现的漏洞。该安全公司的研究发现,一些安全漏洞来自于手机公司为修改安卓操作系统而编写的代码中。
研究人员在接入美国主流运营商网络的10款不同手机的固件中均发现了漏洞。这些安全漏洞可能会带来一些非常严重的后果,例如黑客锁住手机,让用户本人无法使用,又如黑客控制用户手机的麦克风或其他功能。但是,这些研究人员发现,就大多数攻击活动而言,黑客往往需要用户先下载恶意应用程序,然后才能利用固件中的漏洞发起攻击。他们的研究结果已在美国黑帽安全大会上进行了汇报。他们的研究得到了美国国土安全部门的资助。
Kryptowire公司称,这些漏洞源于安卓操作系统的开放性。安卓操作系统允许第三方修改代码、调整用户界面或开发完全不同的安卓。这样的开放系统可能会给手机带来安全隐患。研究人员发现,这些漏洞是安卓操作系统独有的。
“很多手机商都希望添加自己的应用程序,进行个性化设计以及添加自己的代码。”Kryptowire公司CEO安吉洛斯-斯塔夫罗(Angelos Stavrou)说,“这增加了黑客攻击的面积,提高了软件出错的可能性。”
一个特别糟糕的例子发生在华硕Zenfone V Live智能手机上。Kryptowire公司在这款手机的代码中发现了很多安全漏洞,足以让用户完全暴露在黑客的掌控之中。黑客可以利用用户的手机进行截屏和录像,而且还能够阅读和修改他们的短信信息。华硕称,它“已清楚了这些安全漏洞,并在积极地准备安全补丁进行修复。”
Essential、LG和中兴均发表声明称,在接到Kryptowire公司的警告信息后,它们已修复了该公司发现的全部或部分漏洞。我们并不清楚这些安全补丁是否能够发送给所有用户。现在只有无线运营商AT&T证实,它已推送了针对上述漏洞的所有更新程序。正如研究人员指出的,更新过程本身就存在缺陷。更新程序往往需要几个月才能推出并发到用户手中。