[No.L001]
在我們傳統(tǒng)的印象中,智能手機(jī)的安全問(wèn)題大部分都是由于我們自己操作不當(dāng)造成的,比如點(diǎn)擊了不安全的鏈接、安裝了錯(cuò)誤的應(yīng)用程序等等。但對(duì)于成百上千萬(wàn)的安卓設(shè)備來(lái)說(shuō),其實(shí)造成這種局面的根本原因就是設(shè)備本身存在漏洞,并且被隱藏在固件中,只是等待著被用戶(hù)“不小心”發(fā)現(xiàn)或利用而已。那么這些漏洞是誰(shuí)“造成”的呢?有兩種可能,有些是智能手機(jī)制造商,還有一些可能是將手機(jī)賣(mài)給你的運(yùn)營(yíng)商。
這個(gè)新發(fā)現(xiàn)來(lái)自于移動(dòng)安全公司Kryptowire的最新研究報(bào)告,該公司詳細(xì)介紹在10部由美國(guó)主要運(yùn)營(yíng)商銷(xiāo)售的智能手機(jī)中“自帶”的大量令人不安的漏洞。Kryptowire首席執(zhí)行官Angelos Stavrou和研究主管Ryan Johnson在本周五的黑帽安全會(huì)議上公布了自己最新的研究成果,該項(xiàng)目主要是由美國(guó)國(guó)土安全部負(fù)責(zé)資助。
這些漏洞在造成潛在后果的嚴(yán)重程度上,可以讓不法之徒秘密鎖定設(shè)備的麥克風(fēng)以及其它功能的權(quán)限。這些漏洞都有一個(gè)共同的特點(diǎn):形式不固定,不易被發(fā)現(xiàn)。
相反,這些漏洞算是安卓這種開(kāi)放性操作系統(tǒng)的“副產(chǎn)品”,可以讓第三方公司根據(jù)自己的喜好任意修改代碼。從本質(zhì)上來(lái)說(shuō),這并沒(méi)有什么錯(cuò)誤:安卓本身就允許被修改,給人們更多的選擇。比如谷歌在今年秋天發(fā)布的新一代Android Pie操作系統(tǒng),同樣也會(huì)有各種各樣的定制版本。
不過(guò)這些修改過(guò)的系統(tǒng)導(dǎo)致出現(xiàn)了令人頭疼的問(wèn)題,包括安全更新方面的延遲。就像Stavrou和他的團(tuán)隊(duì)所發(fā)現(xiàn)的問(wèn)題一樣,這些漏洞會(huì)導(dǎo)致固件出現(xiàn)錯(cuò)誤,將用戶(hù)置于危險(xiǎn)中。
“這些問(wèn)題不會(huì)消失,因?yàn)樵谡麄(gè)智能手機(jī)的供應(yīng)鏈環(huán)節(jié)中,有很多人都希望能夠添加自己的應(yīng)用程序,添加自己的代碼。這也增加了智能手機(jī)被攻擊的風(fēng)險(xiǎn),提高了軟件出現(xiàn)錯(cuò)誤的可能性。”Stavrou表示。“正是這樣的趨勢(shì),讓用戶(hù)手中的終端最終出現(xiàn)了各種各樣的問(wèn)題。”
這次黑帽會(huì)議主要研究的設(shè)備集中在了華碩、LG、Essential和中興等幾款設(shè)備上。
在獲得DHS資助時(shí),Kryptowire的研究并沒(méi)有提到這一點(diǎn),在研究的初期團(tuán)隊(duì)并未關(guān)注制造商的意圖,而是著眼于更廣泛的安卓生態(tài)系統(tǒng)參與者如何“助長(zhǎng)”了這種糟糕的代碼問(wèn)題。
以華碩ZenFone V Live為例,Kryptowire公司發(fā)現(xiàn),漏洞可以讓用戶(hù)被暴露在整個(gè)系統(tǒng)的接管過(guò)程中,包括對(duì)用戶(hù)的截屏、視頻記錄、打電話(huà)、閱讀記錄和短信修改等。
隨后,華碩立即發(fā)表了一份聲明:“我們已經(jīng)意識(shí)到外界對(duì)ZenFone安全性的擔(dān)憂(yōu),并且第一時(shí)間努力修復(fù)和解決這些問(wèn)題。我們將通過(guò)軟件升級(jí)的方式解決這些問(wèn)題,同時(shí)會(huì)陸續(xù)向ZenFone用戶(hù)推送升級(jí)通知。華碩致力于不斷提高用戶(hù)的安全和隱私,我們積極鼓勵(lì)所有用戶(hù)第一時(shí)間更新到最新版本系統(tǒng),確保智能手機(jī)的安全性。”
華碩能擁有如此迅速的反應(yīng),是非常讓人稱(chēng)道的。但Stavrou要質(zhì)疑的是這種修復(fù)程序的有效性。“用戶(hù)必須接受這個(gè)補(bǔ)丁,但當(dāng)制造商將更新不斷推送到智能手機(jī)上時(shí),還是有用戶(hù)拒絕更新。”他還指出,在Kryptowire測(cè)試的一些型號(hào)中,更新在過(guò)程中就已經(jīng)被破壞,而這一發(fā)現(xiàn)也得到了德國(guó)安全研究實(shí)驗(yàn)室最新的一項(xiàng)研究成果的支持。
根據(jù)Kryptowire的研究結(jié)果顯示,想要進(jìn)行攻擊,大部分都需要用戶(hù)安裝特定的應(yīng)用程序,有些應(yīng)用的漏洞甚至不需要獲取特殊權(quán)限。換句話(huà)說(shuō),應(yīng)用本身不會(huì)造成危害,但由于它們會(huì)訪(fǎng)問(wèn)你的文本,調(diào)取系統(tǒng)日志,就會(huì)讓系統(tǒng)本身的漏洞暴露無(wú)遺。
而不同的設(shè)備,這種情況也會(huì)引發(fā)不同的后果。比如中興Blade Spark和Blade Vantage,固件缺陷可以允許任何應(yīng)用程序訪(fǎng)問(wèn)文本消息、通話(huà)記錄以及系統(tǒng)日志文件,另外還包括諸如電子郵件和GPS坐標(biāo)這樣的敏感信息。而在Kryptowire的報(bào)告上,問(wèn)題最嚴(yán)重的是LG G6,漏洞不僅會(huì)曝光系統(tǒng)日志,而且還可以遠(yuǎn)程將用戶(hù)的設(shè)備鎖定。攻擊者可以將智能手機(jī)重新還原,并且清除掉數(shù)據(jù)和緩存。
“我們發(fā)現(xiàn)漏洞后,團(tuán)隊(duì)就已經(jīng)開(kāi)始著手修復(fù)。”LG通訊部門(mén)主管Shari Doherty表示。
LG似乎已經(jīng)解決了一些問(wèn)題,但并不是所有問(wèn)題。“公司已經(jīng)意識(shí)到這些漏洞的存在,并且引入了安全更新來(lái)解決這些問(wèn)題。事實(shí)上,報(bào)告中提到的大部分漏洞都已經(jīng)被修復(fù),或者被列入了即將維護(hù)更新的名單中,這些更新與安全風(fēng)險(xiǎn)無(wú)關(guān)。”LG在一份聲明中表示。
中興也已經(jīng)發(fā)表了聲明,表示已經(jīng)或正在與運(yùn)營(yíng)商合作,來(lái)提供修復(fù)這些問(wèn)題的更新。“中興會(huì)繼續(xù)與合作伙伴及運(yùn)營(yíng)商合作,持續(xù)為用戶(hù)提供更新版本,保護(hù)消費(fèi)者的設(shè)備。”
AT&T的發(fā)言人已經(jīng)表示,公司開(kāi)始部署制造商的軟件補(bǔ)丁來(lái)解決問(wèn)題。Verizon、T-Mobile和Sprint暫時(shí)還沒(méi)有對(duì)此問(wèn)題進(jìn)行回應(yīng)。
通過(guò)這一系列的聲明和進(jìn)展,我們看到了關(guān)鍵問(wèn)題的所在。Stavrou表示,這些更新可能需要幾個(gè)月的時(shí)間來(lái)創(chuàng)建和測(cè)試,對(duì)制造商和運(yùn)營(yíng)商來(lái)說(shuō)都是一種挑戰(zhàn)。對(duì)用戶(hù)來(lái)說(shuō),能做的只有等待,因?yàn)檫@個(gè)問(wèn)題用戶(hù)自己無(wú)法解決,甚至根本就意識(shí)不到。
榜單收錄、高管收錄、融資收錄、活動(dòng)收錄可發(fā)送郵件至news#citmt.cn(把#換成@)。
海報(bào)生成中...