研究称数百万Android设备出货时便存在固件漏洞

2018年8月11日16:02:27研究称数百万Android设备出货时便存在固件漏洞已关闭评论 35

这是移动安全公司Kryptowire的最新研究分析得出的主要结论。Kryptowire详细列出了在美国主流运营商销售的10款设备中预装的漏洞。Kryptowire首席执行官安杰罗斯·斯塔夫鲁(Angelos Stavrou)和研究总监莱恩·约翰逊(Ryan Johnson)将在周五的Black Hat安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。

这些漏洞的潜在后果可大可小,比如锁住设备让机主无法使用,秘密访问设备的麦克风和其他的功能。

“这个问题不会消失。”——Kryptowire首席执行官安杰罗斯·斯塔夫鲁

Android操作系统允许第三方公司根据自己的喜好改动代码和进行定制,而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题;它让厂商能够寻求差异化,给人们带来更多的选择。谷歌将在今年秋天正式推出Android 9 Pie,但最终该新系统将会有各种各样的版本。

不过,那些代码改动会带来一些令人头痛的问题,其中包括安全更新推送的延迟问题。正如?斯塔夫鲁和他的团队所发现的,它们还可能会导致固件漏洞,将用户置于危险当中。

“这个问题不会消失,因为供应链中的许多人都希望能够添加自己的应用程序,自定义定制,以及添加自己的代码。这增加了可被攻击的范围,增加了软件出错的可能性。”斯塔夫鲁指出,“他们让终端用户暴露于终端用户无法应对的漏洞当中。”

Kryptowire在Black Hat上的讲话聚焦于来自华硕、LG、Essential和中兴通讯的设备。

Kryptowire的研究关注的并不是制造商的意图,而是整个Android生态系统的参与者共同造成的广泛存在的代码低劣问题。

以华硕ZenFone V Live为例,Kryptowire发现,该款手机的整个系统都被接管控制,包括对用户屏幕的截图和视频录像、打电话、浏览和修改短信等等。

“华硕意识到最近ZenFone的安全问题,正努力通过软件更新来加快解决问题,软件更新将无线推送给ZenFone用户。”华硕在一份声明中表示,“华硕致力于保障用户的安全和隐私,我们强烈建议所有的用户更新到最新的ZenFone软件,以确保获得安全的用户体验。”

现阶段,要解决自己造成的烂摊子,推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上,用户可能也不会去安装更新。”他说道。他还指出,在Kryptowire测试的一些机型上,更新过程本身就被中断了。这一发现也得到了德国安全公司Security Research Labs最近的一项研究的支持。

Kryptowire所详述的攻击基本上都需要用户去安装应用。然而,虽然正常来说可以通过一个不错的方法来规避潜在的攻击,即坚持使用谷歌官方应用商店Google Play来下载应用,但斯塔夫鲁指出,让这些漏洞变得如此有害的是那些应用程序在安装时并不需要授予特别的权限。换句话说,应用程序不必诱使你提供访问你的短信和通话记录的权限。得益于存在缺陷的固件,它可以轻而易举地、悄无声息地获取你的短信和通话记录。

攻击最终可能会导致各种各样的后果,具体要看你使用的是什么设备。就中兴Blade Spark和Blade Vantage而言,固件缺陷会允许任何应用程序访问短信、通话数据和所谓的日志记录(收集各种系统消息,可能包括电子邮件地址、GPS坐标等敏感信息)。在LG G6(Kryptowire的研究报告中最流行的一款机型)上,漏洞可能会暴露日志记录,或者被用来锁定设备让机主无法访问。攻击者还可能会重置Essential Phone手机,清除它的数据和缓存。

“在我们意识到这个漏洞以后,我们的团队立即进行了修复。”Essential公关主管莎丽·多尔蒂(Shari Doherty)说道。

你完全无法自己去解决问题,也无法早早发现问题的存在。

LG似乎已经解决了一些潜在的问题,但还没有完全解决。“LG此前了解到了这些漏洞,并已经发布了安全更新来解决这些问题。事实上,报告提到的漏洞大多数都已经被修补,或者已经被纳入即将到来的与安全风险无关的定期维护更新。”该公司发表声明称。

至于中兴通讯,该公司在一份声明中表示,它“已经推送安全更新,今天也在与运营商合作推送修复这些问题的维护更新。中兴通讯将继续与技术合作伙伴和运营商客户合作,未来持续提供维护更新,继续保护消费者的设备。”

AT&T的一位发言人证实,该运营商已经“部署了制造商的软件补丁来解决这个问题”。Verizon和Sprint没有回复记者的置评请求。

这一连串的声明显示出了进展,但也凸显了一个关键的问题。斯塔夫鲁说,这些更新可能需要几个月的时间来创建和测试,需要经过从制造商到运营商再到客户的多重检验。在你等待更新的过程中,你完全无法自己去解决问题,也无法早早发现问题的存在。

“有一点是可以确定的,那就是没有人保障消费者的安全。”斯塔夫鲁指出,“该漏洞问题在系统中根深蒂固,消费者可能无法判断它是否存在。即使他们意识到它的存在,他们也毫无办法,只能等待制造商、运营商或任何更新固件的人来提供帮助。”

与此同时,这一发现只是Kryptowire最终将公开的诸多发现中的第一个发现。(为了让各家企业足够的时间做出反应,它还没有公开全部的发现。)

“我们要感谢Kryptowire的安全研究人员为加强Android生态系统的安全性所做的努力。他们所概述的问题并不影响Android操作系统本身,但是会影响设备上的第三方代码和应用程序。”谷歌发言人在声明中称。

第三方代码和那些应用程序短期内似乎还不会消失。只要它们还在那里,那些令人头痛的潜藏隐患就还会存在。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信公众号扫一扫
  • weinxin