個資漏光光 絕大多數Android手機出廠前就有漏洞

15505
出版時間:2018/08/11 18:21
Android手機出廠前就有漏洞問題最嚴重的是LG G6,漏洞不僅會曝光系統日誌,而且還可以遠端將使用者的設備鎖定,攻擊者可以將智慧手機重新還原,並且清除掉資料和緩存。資料照

調整內文

智慧型手機的便利性,已經是成為一般人生活中不可分割的一部分,行動支付、銀行轉帳交易與信件往來,都靠這台智慧型手機。
 
在一般人傳統的印象中,智慧手機的安全問題大部分都是由於使用者的操作不當所造成的,但對於成上億的Android設備而言,根據研究調查指出,絕大多數Android智慧型手機出廠時就存在大量漏洞,造成資料外洩的根本原因就是設備本身存在漏洞,並且被隱藏在零件中,只是等待著被用戶不小心發現或利用而已。
 
根據《騰訊網》報導指出,這些漏洞是誰造成的呢?有兩種可能,有些是智慧手機製造商,還有一些可能是將手機賣給你的電信運營商。
 
由行動安全公司Kryptowire最新研究報告中指出,在該公司詳細介紹在10部由美國主要運營商銷售的智慧手機中,裡面自帶著大量令人不安的漏洞。
 
Kryptowire執行長Angelos Stavrou和研究主管Ryan Johnson在本週五的黑帽安全會議上公佈最新的研究成果,該項目主要是由美國國土安全部負責資助。
 
這些漏洞在造成潛在後果的嚴重程度上,可以讓不法之徒秘密鎖定設備的麥克風以及其它功能的許可權,而這些漏洞都有一個共同的特點:形式不固定,不易被發現。
 
相反,這些漏洞算是Android這種開放性作業系統的副產品,可以讓協力廠商公司根據自己的喜好任意修改代碼。
 
也就是從本質上而言,因為Android本身就允許被修改,給人們更多的選擇,例如Google在今年秋天發佈的新一代Android Pie作業系統,同樣也會有各種各樣的定制版本。
 
不過這些修改過的系統導致出現了令人頭疼的問題,包括安全更新方面的延遲。就像Stavrou和他的團隊所發現的問題一樣,這些漏洞會導致固件出現錯誤,將使用者置於危險中。
 
Stavrou表示,這些問題不會消失,因為在整個智慧手機的供應鏈環節中,有很多人都希望能夠添加自己的應用程式,添加自己的代碼。

這也增加了智慧手機被攻擊的風險,提高了軟體出現錯誤的可能性,也正是這樣的趨勢,讓使用者手中的終端最終出現了各種各樣的問題。
 
這次黑帽會議主要研究的設備集中在了華碩、LG、Essential和中興等幾款設備上。
 
在獲得DHS資助時,Kryptowire的研究並沒有提到這一點,在研究的初期團隊並未關注製造商的意圖,而是著眼於更廣泛的Android生態系統參與者如何助長了這種有問題的代碼問題。
 
以華碩(2357)ZenFone V Live為例,Kryptowire公司發現,漏洞可以讓使用者被暴露在整個系統的接管過程中,包括對使用者的截圖、視訊記錄、打電話、閱讀記錄和簡訊修改等。
 
隨後,華碩立即發表了一份聲明指出,目前華碩已經意識到外界對ZenFone安全性的擔憂,並且第一時間努力修復和解決這些問題。並將通過軟體升級的方式解決這些問題,同時會陸續向ZenFone用戶推送升級通知。
 
華碩致力於不斷提高用戶的安全和隱私,並且積極鼓勵所有用戶第一時間更新到最新版本系統,確保智慧手機的安全性。華碩能擁有如此迅速的反應,是非常讓人稱道的。
 
只是Stavrou質疑的是這種修復程式的有效性,用戶必須接受這個軟體更新,但當製造商將更新不斷推送到智慧手機上時,還是有用戶拒絕更新。
 
他還指出,在Kryptowire測試的一些型號中,更新在過程中就已經被破壞,而這一發現也得到了德國安全研究實驗室最新的一項研究成果的支持。
 
根據Kryptowire的研究結果顯示,想要進行攻擊,大部分都需要使用者安裝特定的應用程式,有些應用的漏洞甚至不需要獲取特殊許可權。換句話說,應用本身不會造成危害,但由於它們會訪問你的文本,調取系統日誌,就會讓系統本身的漏洞暴露無遺。
 
而不同的設備,這種情況也會引發不同的後果,例如中興Blade Spark和Blade Vantage,固件缺陷可以允許任何應用程式訪問文本消息、通話記錄以及系統日誌檔,另外還包括諸如電子郵件和GPS座標這樣的敏感資訊。

而在Kryptowire的報告上,問題最嚴重的是LG G6,漏洞不僅會曝光系統日誌,而且還可以遠端將使用者的設備鎖定,攻擊者可以將智慧手機重新還原,並且清除掉資料和緩存。
 
LG通訊部門主管Shari Doherty表示,LG發現漏洞後,團隊就已經開始著手修復。LG似乎已經解決了一些問題,但並不是所有問題。
 
LG在聲明中表示,LG已經意識到這些漏洞的存在,並且引入了安全更新來解決這些問題。事實上,報告中提到的大部分漏洞都已經被修復,或者被列入了即將維護更新的名單中,這些更新與安全風險無關。 。
 
中興也已經發表了聲明,表示已經或正在與運營商合作,來提供修復這些問題的更新。中興會繼續與合作夥伴及運營商合作,持續為用戶提供更新版本,保護消費者的設備。
 
通過這一系列的聲明和進展,消費者看到了關鍵問題的所在。Stavrou表示,這些更新可能需要幾個月的時間來創建和測試,對製造商和運營商來說都是一種挑戰。
 
但對用戶來說,能做的只有等待,因為這個問題用戶自己無法解決,甚至根本就意識不到。(財經中心/台北報導)

出版 13:00
更新18:21

包括華碩、LG在內絕大多數Android手機出廠前就有漏洞。資料照


有話要說 投稿「即時論壇」
更多

《最新》

新聞