该研究称,数百万Android设备都是通过固件漏洞发货的。

时间: 2018-08-14 12:40:03 作者: 管理员

根据WiReD,研究人员发现,数百万的Android设备都有固件漏洞,使它们很容易受到难以预防的攻击。由于安全问题,智能手机崩溃通常是自欺欺人的:点击错误的链接,或者安装。错误的应用程序。但是对于数百万的Android设备来说,这些漏洞一直被隐藏在固件中,而且在开发之前只是时间问题。在一定程度上,设备制造商和销售设备的经营者都是负责的。

这是KPurthura的一个新的分析,一个移动安全公司的主要结论。Krimthure详细描述了美国主要运营商出售的10个设备上的漏洞。Krimthure首席执行官安吉洛斯·斯塔夫鲁和研究主管赖恩庄逊将在黑帽安全声明中展示他们的发现。星期五,该研究由美国国土安全部资助。
这些漏洞的潜在后果可以从锁定设备到使其无法偷偷地访问设备的麦克风和其他功能。
“这个问题不会消失。”——克雷索瓦尔首席执行官安吉洛斯·斯塔夫鲁
Android操作系统允许第三方公司改变代码并定制它的喜好,这些固件漏洞是这种开放性的副产品。开放性没有错,它允许制造商寻求差异化,给人们更多的选择。谷歌将今年秋天正式推出Android 9派,但最终新系统将以各种版本出现。
然而,这些代码更改可能会引起一些头痛,包括安全更新的延迟。Savru和他的团队发现,它们也会导致用户面临风险的固件错误。
“问题不会消失,因为供应链中的许多人希望能够添加他们自己的应用程序,定制它们,并添加他们自己的代码。这增加了漏洞的范围,并增加了软件失败的可能性。”它们暴露了最终用户的脆弱性。这些终端用户无法处理,”他说。
KuffTuriar关于黑帽的评论集中在华硕、LG、必需品和中兴的设备上。
Krkturiar的研究并不是关注制造商的意图,而是关注整个Android生态系统中所有参与者普遍存在的代码贫乏的普遍问题。
在华硕ZefOne V LIFE的情况下,Kryptowire发现手机的整个系统被接管,包括屏幕截图和视频视频、电话呼叫、浏览和修改文本消息。
“华硕意识到了ZenFone最近的安全问题,并且正在通过软件更新来加速解决方案,将软件推到ZefNon用户。”在一份声明中,华硕说:“华硕致力于维护用户的安全和隐私,我们强烈建议所有用户更新。最新的ZeFONE软件,以确保安全的用户体验。
在这个阶段,推动更新是华硕唯一能修复自己混乱的事情。但是斯塔夫质疑这个修复过程的有效性。“”用户必须接受并安装这个补丁。因此,即使他们把它推到用户的手机上,用户也可能不会安装更新。D在Krimthar测试的一些机器上,更新过程本身被中断了。这一发现也得到了德国安全研究实验室的一项最新研究的支持。
Krimthore详细描述的攻击基本上要求用户安装应用程序。然而,尽管它通常是一种很好的方法来避免潜在的攻击,但通过坚持谷歌的官方应用程序商店,谷歌游戏,下载应用程序,Stavru指出,这些漏洞是多么有害。这些应用程序不需要特殊的权限来安装。换句话说,应用程序不必欺骗你提供对你的文本消息和通话日志的访问。由于有故障的固件,它可以轻而易举地悄悄地访问你的SMS和呼叫日志。
攻击可以根据你使用的设备而产生各种各样的后果。在中兴刀片Spice和刀片ValTee的情况下,固件漏洞允许任何应用程序访问文本消息、调用数据和所谓的日志记录(它收集各种系统消息,可能包括)。敏感信息,如电子邮件地址,GPS坐标)。在LG G6(KPMuriar报告的最受欢迎的模型之一)中,漏洞可能会导致日志记录或被用来锁定所有者无法到达的设备。攻击者还可以重置必要的电话来清除其数据和缓存。
“当我们意识到这个漏洞后,我们的团队立即修复了它。”“Said Shari Doherty,NICE的通信总监。
你不能一个人解决问题,或者很早就找到它。
LG似乎已经解决了一些潜在的问题,但还没有完全解决它们。http://dis.zxhost.cn/thread-1623-1-1.html“LG以前已经了解了这些漏洞,并发布了安全更新来解决这些问题。事实上,报告中提到的大多数漏洞已经被修补或者已经被列入了。“即将到来的定期维护更新与安全风险无关”,它在一份声明中说。
至于中兴,该公司在一份声明中说,“它已经推动了安全更新,并正在与运营商合作,推动维护更新,解决这些问题。”“中兴将继续与其技术合作伙伴和运营商客户提供维护更新,并继续PR。”OTECT消费者在未来的设备。