研究称数百万Android设备出货时便存在固件漏洞,迟早被利用

据《连线》网站报道,研究人员发现,数以百万计的Android设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。

 
Android(['ændrɔid])是一个以Linux为基础的半开源操作系统,主要用于移动设备,由Google和开放手持设备联盟开发与领导。 Android 系统最初由安迪·鲁宾(Andy Rubin)制作,最初主要支持手机。2005年8月17日被Google收购。2007年11月5日,Google与84家硬件制造商、软件开发商及电信营运商组成开放手持设备联盟(Open Handset Alliance)来共同研发改良Android系统并生产搭载Android的智慧型手机,并逐渐拓展到平板电脑及其他领域上。随后,Google以Apache免费开源许可证的授权方式,发布了Android的源代码。
 
智能手机因安全问题而崩溃往往是自己造成的:你点击了错误的链接,或者安装了有问题的应用。但对于数以百万计的Android设备来说,这些漏洞早就潜藏于固件当中,被利用只是迟早的问题。这是谁造成的呢?在某种程度上,制造设备的制造商和销售设备的运营商都有责任。
研究称数百万Android设备出货时便存在固件漏洞,迟早被利用
这是移动安全公司Kryptowire的最新研究分析得出的主要结论。Kryptowire详细列出了在美国主流运营商销售的10款设备中预装的漏洞。Kryptowire首席执行官安杰罗斯·斯塔夫鲁(Angelos Stavrou)和研究总监莱恩·约翰逊(Ryan Johnson)将在周五的Black Hat安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。
  
这些漏洞的潜在后果可大可小,比如锁住设备让机主无法使用,秘密访问设备的麦克风和其他的功能。
  
“这个问题不会消失。”——Kryptowire首席执行官安杰罗斯·斯塔夫鲁
研究称数百万Android设备出货时便存在固件漏洞,迟早被利用
Android操作系统允许第三方公司根据自己的喜好改动代码和进行定制,而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题;它让厂商能够寻求差异化,给人们带来更多的选择。谷歌将在今年秋天正式推出Android 9 Pie,但最终该新系统将会有各种各样的版本。
  
不过,那些代码改动会带来一些令人头痛的问题,其中包括安全更新推送的延迟问题。正如斯塔夫鲁和他的团队所发现的,它们还可能会导致固件漏洞,将用户置于危险当中。
研究称数百万Android设备出货时便存在固件漏洞,迟早被利用