主页(http://www.175shouji.com):安卓用户要小心了 在预装的应用程序中发现146个bug
当被问及是什么可以终结这种低成本生产且常常是危险软件的生态系统时,Kryptowire的首席执行官Angelos Stavrou指出谷歌可以提高产品的可靠性。
在Kryptowire的研究中发现的那些预装的应用程序通常是小型的、没有品牌的第三方软件,它们被塞进大型的、有品牌的制造商应用程序的功能中。预装的应用程序是一个特别重大的安全威胁,因为它们通常比其他类型的应用程序更自由地操作用户的手机,而且用户更难删除。
尽管Kryptowire的漏洞暴露几乎每年都会出现,但Stavrou认为谷歌的整体安全策略有了改进。
“谷歌可以要求对进入Android生态系统的软件产品进行更彻底的代码分析和供应商责任,”斯塔夫鲁在电子邮件中说。“立法者和政策制定者应该要求企业对将最终用户的安全和个人信息置于危险境地负责。”
他说:“保障软件供应链的安全是一个非常复杂的问题,谷歌和安全研究团体一直在努力解决这个问题。”
谷歌在一封电子邮件中说,“我们感谢研究团队的工作,他们与我们合作,负责任地修复和披露这些问题。”
安全研究公司Kryptowire再次发现,廉价生产的Android手机上预装的应用程序存在大量潜在的恶意活动。在一项由美国国土安全部资助的研究中,该公司发现应用程序秘密录制音频,在没有用户许可的情况下改变手机设置,甚至给自己授予新的许可。
谷歌安全研究员Maddie Stone在黑帽2019年发布会上表示,安卓设备通常有100到400个预装应用程序。斯通在演讲中说,如果你是一个恶意的行动者,你“只需要说服一家公司把你的应用包括进来,而不是说服成千上万的用户”。
Kryptowire的研究是对Android设备上的制造商和运营商固件所构成的无处不在的安全威胁的年度详细描述的最新研究。今年,Kryptowire在29家制造商的手机上发现了146个新的漏洞,他们使用了一种新的工具,可以扫描固件漏洞,而不需要实体手机。
在2017年于拉斯维加斯举行的黑帽(Black Hat)网络安全会议上,Kryptowire在上海广升科技(Adups Technology)生产的廉价手机中发现了类似的安全威胁。广升的预装软件被发现将用户的设备数据发送到该公司位于上海的服务器上,而没有提醒这些用户。该公司表示,问题已经解决。2018年,Kryptowire发布了对25款廉价安卓手机预装固件缺陷的研究,同年谷歌发布了测试套件,部分是为了解决这类问题。
