日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

在一項關于制造商和運營商造成的固件漏洞的新研究中，來自華碩、LG、Essential 和中興的 Android 智能手機是焦點所在。

近日，據(jù)《連線》網(wǎng)站報道，研究人員發(fā)現(xiàn)，數(shù)以百萬計的 Android 設備出貨之時便存在固件漏洞，容易受到攻擊，用戶可以說防不勝防。

智能手機因安全問題而崩潰往往是自己造成的：你點擊了錯誤的鏈接，或者安裝了有問題的應用。但對于數(shù)以百萬計的 Android 設備來說，這些漏洞早就潛藏于固件當中，被利用只是遲早的問題。這是誰造成的呢?在某種程度上，制造設備的制造商和銷售設備的運營商都有責任。

這是移動安全公司 Kryptowire 的最新研究分析得出的主要結論。Kryptowire 詳細列出了在美國主流運營商銷售的 10 款設備中預裝的漏洞。Kryptowire 首席執(zhí)行官安杰羅斯·斯塔夫魯(Angelos Stavrou)和研究總監(jiān)萊恩·約翰遜(Ryan Johnson)將在周五的 Black Hat 安全會議上展示他們的研究成果。該項研究是由美國國土安全部資助的。

這些漏洞的潛在后果可大可小，比如鎖住設備讓機主無法使用、秘密訪問設備的麥克風和其他的功能。

“這個問題不會消失?！薄?Kryptowire首席執(zhí)行官安杰羅斯·斯塔夫魯

Android 操作系統(tǒng)允許第三方公司根據(jù)自己的喜好改動代碼和進行定制，而那些固件漏洞正是這種開放性的副產(chǎn)品。開放本身沒有什么問題;它讓廠商能夠尋求差異化，給人們帶來更多的選擇。谷歌將在今年秋天正式推出 Android 9 Pie，但最終該新系統(tǒng)將會有各種各樣的版本。

不過，那些代碼改動會帶來一些令人頭痛的問題，其中包括安全更新推送的延遲問題。正如斯塔夫魯和他的團隊所發(fā)現(xiàn)的，它們還可能會導致固件漏洞，將用戶置于危險當中。

“這個問題不會消失，因為供應鏈中的許多人都希望能夠添加自己的應用程序，自定義定制，以及添加自己的代碼。這增加了可被攻擊的范圍，增加了軟件出錯的可能性?！彼顾螋斨赋?，“他們讓終端用戶暴露于終端用戶無法應對的漏洞當中?！?/p>

Kryptowire 在 Black Hat 上的講話聚焦于來自華碩、LG、Essential 和中興通訊的設備。

Kryptowire 的研究關注的并不是制造商的意圖，而是整個 Android 生態(tài)系統(tǒng)的參與者共同造成的廣泛存在的代碼低劣問題。

以華碩 ZenFone V Live 為例，Kryptowire 發(fā)現(xiàn)，該款手機的整個系統(tǒng)都被接管控制，包括對用戶屏幕的截圖和視頻錄像、打電話、瀏覽和修改短信等等。

“華碩意識到最近 ZenFone 的安全問題，正努力通過軟件更新來加快解決問題，軟件更新將無線推送給 ZenFone 用戶。”華碩在一份聲明中表示，“華碩致力于保障用戶的安全和隱私，我們強烈建議所有的用戶更新到最新的 ZenFone 軟件，以確保獲得安全的用戶體驗?！?/p>

現(xiàn)階段，要解決自己造成的爛攤子，推送更新是華碩唯一能夠做的。但斯塔夫魯對這種修補過程的有效性表示懷疑?！坝脩舯仨氁邮懿惭b這個補丁。所以即使他們把它推送到用戶的手機上，用戶可能也不會去安裝更新?！彼f道。他還指出，在 Kryptowire 測試的一些機型上，更新過程本身就被中斷了。這一發(fā)現(xiàn)也得到了德國安全公司 Security Research Labs 最近的一項研究的支持。

Kryptowire 所詳述的攻擊基本上都需要用戶去安裝應用。然而，雖然正常來說可以通過一個不錯的方法來規(guī)避潛在的攻擊，即堅持使用谷歌官方應用商店 Google Play 來下載應用，但斯塔夫魯指出，讓這些漏洞變得如此有害的是那些應用程序在安裝時并不需要授予特別的權限。換句話說，應用程序不必誘使你提供訪問你的短信和通話記錄的權限。得益于存在缺陷的固件，它可以輕而易舉地、悄無聲息地獲取你的短信和通話記錄。

攻擊最終可能會導致各種各樣的后果，具體要看你使用的是什么設備。就中興 Blade Spark 和 Blade Vantage 而言，固件缺陷會允許任何應用程序訪問短信、通話數(shù)據(jù)和所謂的日志記錄(收集各種系統(tǒng)消息，可能包括電子郵件地址、GPS 坐標等敏感信息)。在 LG G6(Kryptowire的研究報告中最流行的一款機型)上，漏洞可能會暴露日志記錄，或者被用來鎖定設備讓機主無法訪問。攻擊者還可能會重置 Essential Phone 手機，清除它的數(shù)據(jù)和緩存。

“在我們意識到這個漏洞以后，我們的團隊立即進行了修復?！盓ssential 公關主管莎麗·多爾蒂(Shari Doherty)說道。

你完全無法自己去解決問題，也無法早早發(fā)現(xiàn)問題的存在。

LG 似乎已經(jīng)解決了一些潛在的問題，但還沒有完全解決?！癓G 此前了解到了這些漏洞，并已經(jīng)發(fā)布了安全更新來解決這些問題。事實上，報告提到的漏洞大多數(shù)都已經(jīng)被修補，或者已經(jīng)被納入即將到來的與安全風險無關的定期維護更新?！痹摴景l(fā)表聲明稱。

至于中興通訊，該公司在一份聲明中表示，“它已經(jīng)推送安全更新，今天也在與運營商合作推送修復這些問題的維護更新。中興通訊將繼續(xù)與技術合作伙伴和運營商客戶合作，未來持續(xù)提供維護更新，繼續(xù)保護消費者的設備?！?/p>

AT&T 的一位發(fā)言人證實，該運營商已經(jīng)“部署了制造商的軟件補丁來解決這個問題”。Verizon 和 Sprint 沒有回復記者的置評請求。

這一連串的聲明顯示出了進展，但也凸顯了一個關鍵的問題。斯塔夫魯說，這些更新可能需要幾個月的時間來創(chuàng)建和測試，需要經(jīng)過從制造商到運營商再到客戶的多重檢驗。在你等待更新的過程中，你完全無法自己去解決問題，也無法早早發(fā)現(xiàn)問題的存在。

“有一點是可以確定的，那就是沒有人保障消費者的安全。”斯塔夫魯指出，“該漏洞問題在系統(tǒng)中根深蒂固，消費者可能無法判斷它是否存在。即使他們意識到它的存在，他們也毫無辦法，只能等待制造商、運營商或任何更新固件的人來提供幫助?！?/p>

與此同時，這一發(fā)現(xiàn)只是 Kryptowire 最終將公開的諸多發(fā)現(xiàn)中的第一個發(fā)現(xiàn)。(為了讓各家企業(yè)足夠的時間做出反應，它還沒有公開全部的發(fā)現(xiàn)。)

“我們要感謝 Kryptowire 的安全研究人員為加強 Android 生態(tài)系統(tǒng)的安全性所做的努力。他們所概述的問題并不影響 Android 操作系統(tǒng)本身，但是會影響設備上的第三方代碼和應用程序?！惫雀璋l(fā)言人在聲明中稱。

第三方代碼和那些應用程序短期內(nèi)似乎還不會消失。只要它們還在那里，那些令人頭痛的潛藏隱患就還會存在。

網(wǎng)頁名稱：防不勝防，數(shù)百萬Android設備出貨時便存在固件漏洞
網(wǎng)站網(wǎng)址：http://www.dlmjj.cn/article/dhhpjod.html