根據Wired的報導,資安公司 Kryptowire發現,許多Android手機的程式碼中,都含有不同的漏洞,安全專家研究了十款美國電信商所發售不同公司的主流行動裝置的韌體,發現這些裝置中都有漏洞,將導致攻擊者可以鎖定他們的手機,並且取得裝置的控制權。
這項研究是由美國國土安全部所委託的研究,在美國黑帽資安論壇上發表。由Kryptowire執行長Angelos Stavrou和研究主管Ryan Johnson發表。他們表示,這些漏洞可以讓有心人鎖定手機上的特定功能並且取得允許權,而且形式都不固定,不易被察覺。
Kryptowire的報告指出,這些漏洞最大的起因,來自於Android的開放生態。可以說是整個Android開放系統生態的副產品。由於生態開放,允許第三方廠商可以調校程式碼並且修正系統界面、創造完全不同版本的Android。而也因為這些生態,才導致產生手機安全的漏洞。
他們表示,在整個手機的供應鍊上,包括手機製造商、電信商、第三方軟體商,很多人都想要增加他們自己的應用程式、客製化程式上去。這些都增加了攻擊者可以切入的點,也增加了軟體發生錯誤的可能性。而使用者可能在一開始剛買到手機時並不會察覺到這個問題,但久而久之,就會發現手機使用起來不穩定,跟其他程式會相衝當機等等的問題。
由於本質上Android就是允許讓人修改、客製化的系統,目的就是希望給消費者更多的選擇。但也因此造成了安全上的難度。Kryptowire表示,這個問題在Android的開放生態之下,是不可能消失的。
在這份報告中,他們主要針對Asus, Essential, LG, ZTE 四家廠商的不同手機進行報告,其中特別以華碩在美國電信商發售的Asus Zenfone V Live為例,來說明他們發現的漏洞。這個漏洞可以讓使用者的截圖、視訊記錄、打電話、閱讀記錄和簡訊等等資訊被人竊取。
華碩自然是在第一時間就發表回應,表示他們已經在第一時間修復了那些漏洞,並且推送了安全更新給用戶。
華碩的作法就跟所有手機廠商的作法一樣,一旦被通報漏洞就會即刻修補,並在第一時間推送更新。不過,Kryptowire也指出,目前這種流程還是有相當的問題,首先用戶必須要接受更新,縱使手機廠商一再試圖推送更新,但是某些用戶就是會選擇拒絕。
另外,不同的裝置也會有不同的問題。他們也以ZTE Blade Spark和Blade Vantage為例,韌體的漏洞導致攻擊者可以讓任何應用程式去瀏覽簡訊、通話記錄以及系統日誌檔,以及使用者的Email、GPS資訊。
其次,在Kryptowire的研究中發現,某些手機廠商在推送更新的過程中,由於更新往往需要時間去製作,耗費時間,而且一次可能會推出一堆的漏洞更新一次塞給用戶,因此更新程式在推送的過程中,往往因為傳輸的原因而不完整,無法順利更新。而更糟糕的是,大多數的使用者對於自己使用裝置的漏洞往往一無所知,也不會察覺。
- 新聞來源:theverge
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!