146個安全風險在預裝的Android應(yīng)用中被Kryptowire發(fā)現(xiàn)

 在美國國土安全部資助的一項研究中，Kryptowire在廉價Android智能手機上發(fā)現(xiàn)了預裝應(yīng)用程序造成的嚴重安全風險。這些應(yīng)用程序可能是惡意的，可以秘密錄制音頻、未經(jīng)用戶許可更改設(shè)置，甚至授予新權(quán)限，這顯然與Android設(shè)備制造商和運營商的固件密不可分。

在新工具的幫助下，Kryptowire 得以在不需要接觸 手機 本體的情況下，掃描固件中存在的漏洞。最終在 29 家制造商的 Android 設(shè)備上，查找到了 146 個安全隱患。

在被問及為何特別針對廉價 Android 設(shè)備展開軟件安全調(diào)查時，Kryptowire 首席執(zhí)行官 Angelos Stavrou 在一封郵件中解釋稱：這與谷歌對產(chǎn)品的管理態(tài)度，有著直接的關(guān)系。

Google 可能要求對進入其 Android 生態(tài)系統(tǒng)的軟件產(chǎn)品進行更徹底的代碼分析，并擔負起供應(yīng)商應(yīng)有的責任。當前政策制定者應(yīng)要求該公司將最終用戶的信息安全負起責任，而不是放任其置于危險之中。

對此，谷歌亦在一封郵件中稱：其感謝合作并以負責任的態(tài)度來解決和披露此類問題的研究工作。

正如 Kryptowire 研究中發(fā)現(xiàn)的那樣，預裝應(yīng)用通常為小型、無牌的第三方軟件，其被嵌入到了較大的品牌制造商的預裝功能中。

然而這類應(yīng)用很容易構(gòu)成重要的安全威脅，因為與其它類型的 App 相比，預裝應(yīng)用的權(quán)限要大得多、且很難被應(yīng)用刪除。

在 2017 年于拉斯維加斯舉辦的黑帽網(wǎng)絡(luò)安全大會上，Kryptowire 披露了上海 Adups Technology 生產(chǎn)的廉價手機中的類似安全威脅。該手機的預裝軟件被發(fā)現(xiàn)會將用戶的設(shè)備數(shù)據(jù)發(fā)送到該公司在上海的服務(wù)器，而不會提醒這些用戶，后續(xù)其聲稱該問題已得到解決。

2018 年的時候，Kryptowire 發(fā)布了面向 25 款 Android 入門機型預裝固件缺陷的研究，同年谷歌推出了 Test Suite，以部分解決這方面的問題。

盡管 Kryptowire 曝光的事情每年都難以避免，不過 Stavrou 認為，谷歌的整體安全策略，還是有所改善的。

他表示：“保護軟件供應(yīng)鏈是一個非常復雜的問題，谷歌和安全研究界一直在努力解決該問題”。

今年，在黑帽安全大會(Black Hat 2019)上，谷歌安全研究員Maddie Stone表示：

“有100到400個預裝的Android設(shè)備應(yīng)用程序，在黑客看來，他只需迫使一家公司捆綁惡意應(yīng)用程序而不必說服成千上萬的用戶。”