>

近九成Android设备存重大漏洞:Nexus较安全

- 编辑:大奖网官网登录-大奖官方娱乐网站 -

近九成Android设备存重大漏洞:Nexus较安全

图片 1

在我们传统的印象中,智能手机的安全问题大部分都是由于我们自己操作不当造成的,比如点击了不安全的链接、安装了错误的应用程序等等。但对于成百上千万的安卓设备来说,其实造成这种局面的根本原因就是设备本身存在漏洞,并且被隐藏在固件中,只是等待着被用户“不小心”发现或利用而已。那么这些漏洞是谁“造成”的呢?有两种可能,有些是智能手机制造商,还有一些可能是将手机卖给你的运营商。

图片 2

这个新发现来自于移动安全公司Kryptowire的最新研究报告,该公司详细介绍在10部由美国主要运营商销售的智能手机中“自带”的大量令人不安的漏洞。Kryptowire首席执行官Angelos Stavrou和研究主管Ryan Johnson在本周五的黑帽安全会议上公布了自己最新的研究成果,该项目主要是由美国国土安全部负责资助。

据英国剑桥大学的研究显示,近90%的Android设备都存在至少一个重大漏洞,原因是Android厂商未能为这些设备提供补丁。

这些漏洞在造成潜在后果的严重程度上,可以让不法之徒秘密锁定设备的麦克风以及其它功能的权限。这些漏洞都有一个共同的特点:形式不固定,不易被发现。

在对Android智能手机进行评估时,消费者、监管机构和企业买家都会面临同一个问题,那就是没人知道在谷歌为Android安全漏洞开发出补丁以后,哪家厂商会向用户提供补丁。

相反,这些漏洞算是安卓这种开放性操作系统的“副产品”,可以让第三方公司根据自己的喜好任意修改代码。从本质上来说,这并没有什么错误:安卓本身就允许被修改,给人们更多的选择。比如谷歌在今年秋天发布的新一代Android Pie操作系统,同样也会有各种各样的定制版本。

剑桥大学的研究人员丹尼尔·托马斯(Daniel Thomas)、阿尔斯泰尔·贝雷斯福德(Alastair Beresford)和安德鲁·赖斯(Andrew Rice)在其研究报告中指出:“难题在于,今天的Android安全市场就像个柠檬市场。厂商与用户之间存在信息不对称的问题,前者知道设备是不是安全以及是否会进行安全升级,但用户却不知道。”

不过这些修改过的系统导致出现了令人头疼的问题,包括安全更新方面的延迟。就像Stavrou和他的团队所发现的问题一样,这些漏洞会导致固件出现错误,将用户置于危险中。

这些研究人员对收集自逾2万部Android设备的数据进行了分析,这些设备都安装了Device Analyzer应用。分析结果表明,在过去5年时间里,87%的Android设备都容易受到公共领域中11个安全漏洞里至少一个的侵害,这些漏洞包括最近刚被发现的TowelRoot和FakeID等。

“这些问题不会消失,因为在整个智能手机的供应链环节中,有很多人都希望能够添加自己的应用程序,添加自己的代码。这也增加了智能手机被攻击的风险,提高了软件出现错误的可能性。”Stavrou表示。“正是这样的趋势,让用户手中的终端最终出现了各种各样的问题。”

研究还发现,Android设备平均每年会收到1.26次的安全更新。赖斯指出:“安全社区一直都对Android设备缺少安全更新的问题感到担心。我们希望,通过将这个问题数量化的方式,我们将可帮助人们选购手机,从而为厂商和运营商带来一种动力,促使其向用户提供安全更新。”

这次黑帽会议主要研究的设备集中在了华硕、LG、Essential和中兴等几款设备上。

研究人员还特地设计了一种“FUM”评分体系,以便给每家厂商在向用户提供安全补丁方面的表现打分。这个体系的最高评分是10分,而所谓的“FUM”中的“F”是指免疫于已知主要安全漏洞的设备在总量中所占比例,“U”是指更新至最新版本的设备在总量中所占比例,“M”是指厂商尚未在任何设备上修复的安全漏洞的数量。

在获得DHS资助时,Kryptowire的研究并没有提到这一点,在研究的初期团队并未关注制造商的意图,而是着眼于更广泛的安卓生态系统参与者如何“助长”了这种糟糕的代码问题。

根据这个评分体系,谷歌Nexus设备的得分为5.2分,在各种Android设备中是最高的;其次是LG,得分为4.0分;摩托罗拉,3.1分;三星,2.7分;排在后面的则是索尼、HTC和华硕。

以华硕ZenFone V Live为例,Kryptowire公司发现,漏洞可以让用户被暴露在整个系统的接管过程中,包括对用户的截屏、视频记录、打电话、阅读记录和短信修改等。

随后,华硕立即发表了一份声明:“我们已经意识到外界对ZenFone安全性的担忧,并且第一时间努力修复和解决这些问题。我们将通过软件升级的方式解决这些问题,同时会陆续向ZenFone用户推送升级通知。华硕致力于不断提高用户的安全和隐私,我们积极鼓励所有用户第一时间更新到最新版本系统,确保智能手机的安全性。”

华硕能拥有如此迅速的反应,是非常让人称道的。但Stavrou要质疑的是这种修复程序的有效性。“用户必须接受这个补丁,但当制造商将更新不断推送到智能手机上时,还是有用户拒绝更新。”他还指出,在Kryptowire测试的一些型号中,更新在过程中就已经被破坏,而这一发现也得到了德国安全研究实验室最新的一项研究成果的支持。

根据Kryptowire的研究结果显示,想要进行攻击,大部分都需要用户安装特定的应用程序,有些应用的漏洞甚至不需要获取特殊权限。换句话说,应用本身不会造成危害,但由于它们会访问你的文本,调取系统日志,就会让系统本身的漏洞暴露无遗。

而不同的设备,这种情况也会引发不同的后果。比如中兴Blade Spark和Blade Vantage,固件缺陷可以允许任何应用程序访问文本消息、通话记录以及系统日志文件,另外还包括诸如电子邮件和GPS坐标这样的敏感信息。而在Kryptowire的报告上,问题最严重的是LG G6,漏洞不仅会曝光系统日志,而且还可以远程将用户的设备锁定。攻击者可以将智能手机重新还原,并且清除掉数据和缓存。

“我们发现漏洞后,团队就已经开始着手修复。”LG通讯部门主管Shari Doherty表示。

LG似乎已经解决了一些问题,但并不是所有问题。“公司已经意识到这些漏洞的存在,并且引入了安全更新来解决这些问题。事实上,报告中提到的大部分漏洞都已经被修复,或者被列入了即将维护更新的名单中,这些更新与安全风险无关。”LG在一份声明中表示。

中兴也已经发表了声明,表示已经或正在与运营商合作,来提供修复这些问题的更新。“中兴会继续与合作伙伴及运营商合作,持续为用户提供更新版本,保护消费者的设备。”

ATT的发言人已经表示,公司开始部署制造商的软件补丁来解决问题。Verizon、T-Mobile和Sprint暂时还没有对此问题进行回应。

通过这一系列的声明和进展,我们看到了关键问题的所在。Stavrou表示,这些更新可能需要几个月的时间来创建和测试,对制造商和运营商来说都是一种挑战。对用户来说,能做的只有等待,因为这个问题用户自己无法解决,甚至根本就意识不到。

文章来源:腾讯网

本文由大奖网官网登录发布,转载请注明来源:近九成Android设备存重大漏洞:Nexus较安全