研究發(fā)現(xiàn)Android的開放性導致設備附帶漏洞

Android平臺以安全性不佳而著稱，盡管該系統(tǒng)具有許多優(yōu)勢和改進之處，但情況并沒有得到應有的改善。安全公司Kryptowire的最新研究發(fā)現(xiàn)，許多Android設備都存在一些現(xiàn)成的漏洞，其中包括直接從無線運營商處獲得的漏洞。不幸的是，問題的根源來自Android最大和最古老的優(yōu)點之一：它的開放性和可修改的能力。

Kryptowire發(fā)現(xiàn)了運營商出售的十種不同手機，這些手機開箱即用，都存在安全漏洞和固件漏洞，其中包括華碩，Essential，LG和中興的設備。這些漏洞的嚴重程度各不相同，但其中包括安全漏洞，這些漏洞可能導致攻擊，例如被鎖定在設備之外，無法遠程控制攝像頭或麥克風。

不幸的是，這些不是通過安全更新輕松修補的漏洞。Kryptowire解釋說，問題的根源在于制造商和運營商針對不同目的對Android進行調整和定制的能力。這導致安全漏洞，不僅難以識別，而且對于Android生態(tài)系統(tǒng)的一小部分也是唯一的。Kryptowire的首席執(zhí)行官Angelos Stavrou解釋說：

“問題不會消失，因為供應鏈中的許多人都希望能夠添加自己的應用程序，自定義并添加自己的代碼。這增加了攻擊面，并增加了軟件錯誤的可能性。他們使最終用戶遭受最終用戶無法響應的攻擊。”

大多數(shù)利用這些固件漏洞的攻擊都要求用戶安裝帶有惡意代碼的應用程序，然后用戶才能工作。不過，最糟糕的例子之一是在華碩的Zenfone V Live智能手機中發(fā)現(xiàn)的，該智能手機具有足夠的安全漏洞，可以允許“整個系統(tǒng)接管，包括拍攝用戶屏幕的屏幕截圖和視頻記錄，撥打電話，閱讀和修改文本消息等等。”

Kryptowire已將發(fā)現(xiàn)的漏洞通知了許多制造商和運營商，華碩表示已經意識到了這些問題，并且正在“努力并迅速解決這些問題”，并發(fā)布了補丁。Essential，LG和中興表示，它們的某些或全部缺陷已在安全公司通知后得到修復。

問題再次仍然存在，因為Android生態(tài)系統(tǒng)依賴于不同的運營商根據自己的時間表發(fā)布針對不同設備的更新，從而使許多用戶等待或完全不知道。