一项关于制造商和运营商造成的固件漏洞的新研究中,来自华硕、LG、Essential和中兴的Android智能手机是焦点所在。

据《连线》网站报道,研究人员发现,数以百万计的Android设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。

智能手机因安全问题而崩溃往往是自己造成的:你点击了错误的链接,或者安装了有问题的应用。但对于数以百万计的Android设备来说,这些漏洞早就潜藏于固件当中,被利用只是迟早的问题。这是谁造成的呢?在某种程度上,制造设备的制造商和销售设备的运营商都有责任。

这是移动安全公司Kryptowire的最新研究分析得出的主要结论。Kryptowire详细列出了在美国主流运营商销售的10款设备中预装的漏洞。Kryptowire首席执行官安杰罗斯·斯塔夫鲁(Angelos Stavrou)和研究总监莱恩·约翰逊(Ryan Johnson)将在周五的Black Hat安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。

这些漏洞的潜在后果可大可小,比如锁住设备让机主无法使用,秘密访问设备的麦克风和其他的功能。

“这个问题不会消失。”——Kryptowire首席执行官安杰罗斯·斯塔夫鲁

Android操作系统允许第三方公司根据自己的喜好改动代码和进行定制,而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题;它让厂商能够寻求差异化,给人们带来更多的选择。谷歌将在今年秋天正式推出Android 9 Pie,但最终该新系统将会有各种各样的版本。

不过,那些代码改动会带来一些令人头痛的问题,其中包括安全更新推送的延迟问题。正如?斯塔夫鲁和他的团队所发现的,它们还可能会导致固件漏洞,将用户置于危险当中。

“这个问题不会消失,因为供应链中的许多人都希望能够添加自己的应用程序,自定义定制,以及添加自己的代码。这增加了可被攻击的范围,增加了软件出错的可能性。”斯塔夫鲁指出,“他们让终端用户暴露于终端用户无法应对的漏洞当中。”

Kryptowire在Black Hat上的讲话聚焦于来自华硕、LG、Essential和中兴通讯的设备。

Kryptowire的研究关注的并不是制造商的意图,而是整个Android生态系统的参与者共同造成的广泛存在的代码低劣问题。

以华硕ZenFone V Live为例,Kryptowire发现,该款手机的整个系统都被接管控制,包括对用户屏幕的截图和录像、打电话、浏览和修改短信等等。

“华硕意识到最近ZenFone的安全问题,正努力通过软件更新来加快解决问题,软件更新将无线推送给ZenFone用户。”华硕在一份声明中表示,“华硕致力于保障用户的安全和隐私,我们强烈建议所有的用户更新到最新的ZenFone软件,以确保获得安全的用户体验。”

现阶段,要解决自己造成的烂摊子,推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上,用户可能也不会去安装更新。”他说道。他还指出,在Kryptowire测试的一些机型上,更新过程本身就被中断了。这一发现也得到了德国安全公司Security Research Labs最近的一项研究的支持。

Kryptowire所详述的攻击基本上都需要用户去安装应用。然而,虽然正常来说可以通过一个不错的方法来规避潜在的攻击,即坚持使用谷歌官方应用商店Google Play来下载应用,但斯塔夫鲁指出,让这些漏洞变得如此有害的是那些应用程序在安装时并不需要授予特别的权限。换句话说,应用程序不必诱使你提供访问你的短信和通话记录的权限。得益于存在缺陷的固件,它可以轻而易举地、悄无声息地获取你的短信和通话记录。

攻击最终可能会导致各种各样的后果,具体要看你使用的是什么设备。就中兴Blade Spark和Blade Vantage而言,固件缺陷会允许任何应用程序访问短信、通话数据和所谓的日志记录(收集各种系统消息,可能包括电子邮件地址、GPS坐标等敏感信息)。在LG G6(Kryptowire的研究报告中最流行的一款机型)上,漏洞可能会暴露日志记录,或者被用来锁定设备让机主无法访问。攻击者还可能会重置Essential Phone手机,清除它的数据和缓存。

“在我们意识到这个漏洞以后,我们的团队立即进行了修复。”Essential公关主管莎丽·多尔蒂(Shari Doherty)说道。

你完全无法自己去解决问题,也无法早早发现问题的存在。

LG似乎已经解决了一些潜在的问题,但还没有完全解决。“LG此前了解到了这些漏洞,并已经发布了安全更新来解决这些问题。事实上,报告提到的漏洞大多数都已经被修补,或者已经被纳入即将到来的与安全风险无关的定期维护更新。”该公司发表声明称。

至于中兴通讯,该公司在一份声明中表示,它“已经推送安全更新,今天也在与运营商合作推送修复这些问题的维护更新。中兴通讯将继续与技术合作伙伴和运营商客户合作,未来持续提供维护更新,继续保护消费者的设备。”

AT&T的一位发言人证实,该运营商已经“部署了制造商的软件补丁来解决这个问题”。Verizon和Sprint没有回复记者的置评请求。

这一连串的声明显示出了进展,但也凸显了一个关键的问题。斯塔夫鲁说,这些更新可能需要几个月的时间来创建和测试,需要经过从制造商到运营商再到客户的多重检验。在你等待更新的过程中,你完全无法自己去解决问题,也无法早早发现问题的存在。

“有一点是可以确定的,那就是没有人保障消费者的安全。”斯塔夫鲁指出,“该漏洞问题在系统中根深蒂固,消费者可能无法判断它是否存在。即使他们意识到它的存在,他们也毫无办法,只能等待制造商、运营商或任何更新固件的人来提供帮助。”

与此同时,这一发现只是Kryptowire最终将公开的诸多发现中的第一个发现。(为了让各家企业足够的时间做出反应,它还没有公开全部的发现。)

“我们要感谢Kryptowire的安全研究人员为加强Android生态系统的安全性所做的努力。他们所概述的问题并不影响Android操作系统本身,但是会影响设备上的第三方代码和应用程序。”谷歌发言人在声明中称。

第三方代码和那些应用程序短期内似乎还不会消失。只要它们还在那里,那些令人头痛的潜藏隐患就还会存在。

 

 

 

qrcode_EETCwechat_120.jpg

关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”

阅读全文,请先
您可能感兴趣
尽管生成式AI令人感到惊喜,但很多创新还没有真正落实到每个用户或企业的AI应用上。为了开发出真正不可或缺的“AI杀手级应用”,必须加快创新步伐,激励更多开发者致力于AI领域的开发和创新活动。
为了确保英国市场的竞争不受影响,CMA将对这一收购事宜进行调查。CMA称,允许相关方提交有关该交易可能对英国竞争产生影响的初步意见。
“神玑 NX9031”采用5nm车规工艺制造的高阶智能驾驶芯片,其芯片和底层软件均已实现自主设计,拥有超过500亿颗晶体管。该芯片采用32核超强CPU架构,并集成了高性能图像信号处理器ISP和各类推理加速单元NPU,能够灵活高效地运行各类AI算法。
在中国先进制程被封锁、算力芯片的峰值性能落后的大背景下,中国应该如何应对挑战呢?唐志敏认为,应该全栈协同,突破算力芯片和系统的关建技术,即需要系统级思维,在限制条件下求全系统的最忧解,不追求芯片峰值性能的绝对领先,通过协同创新、全栈优化,得到领先的性能。
微软还指出,由于与欧盟达成的协议,公司无法做出类似的改变来提高操作系统的安全性。因此,当第三方安全软件更新出现缺陷时,这些措施进一步加剧了问题的严重性。
通过收购Wiz,Alphabet将能够显著增强其在云计算市场的竞争力。Wiz的全方位云业务对于拥有大量计算资源的大型公司来说非常有吸引力,这有助于Alphabet在这一领域进一步巩固其市场地位。
• 得益于西欧、关键亚洲市场和拉丁美洲市场的增长,以及中国品牌的持续领先,全球折叠屏手机出货量在2024年第二季度同比增长了48%。 • 荣耀凭借其在西欧特别强劲的表现,成为最大的贡献者,成为该地区排名第一的品牌。 • 摩托罗拉的Razr 40系列在北美和拉丁美洲表现良好,为其手机厂商的出货量贡献了三位数的同比增长。 • 我们预计,头部中国手机品牌厂商的不断增加将至少在短期内抑制三星Z6系列在第三季度的发布。
AI技术的发展极大地推动了对先进封装技术的需求,在高密度,高速度,高带宽这“三高”方面提出了严苛的要求。
奕斯伟计算2024首届开发者伙伴大会以“绿色、开放、融合”为主题,从技术创新、产品应用、生态建设等方面,向开发者、行业伙伴等相关方发出开放合作倡议,加速RISC-V在各行各业的深度融合和应用落地,共同推动RISC-V新一代数字基础设施生态创新和产业发展。
2024年 Canalys 中国云计算渠道领导力矩阵冠军厂商分别是:阿里云、华为云和亚马逊云科技(AWS)
在全球智能手机竞争日益激烈的情况下,谁能在高端市场站稳脚跟,谁就占据了主动权。一直以来全球智能手机市场格局都是,苹果专吃高端,其他各大厂商分食全球中低端市场。但现在市场正在其变化。根据Canalys最
周二,捷普科技(Jabil)官员与印度泰米尔纳德邦代表团在泰米尔纳德邦首席部长MK Stalin的见证下,签署了一份备忘录。MK Stalin正在美国进行为期17天的访问,旨在吸引新的投资。MK St
会议预告向世界展示中国最具创新力、领导力和品牌化的产品与技术!9月27号,“第6届国际移动机器人集成应用大会暨复合机器人峰会”将在上海举行,敬请关注!再度出现,能否再次“出线”?文|覃洁兰近日,曾经在
在德国柏林举行的IFA 2024上,AMD计算和图形业务集团高级副总裁兼总经理Jack Huynh宣布,公司将把以消费者为中心的RDNA和以数据中心为中心CDNA架构统一为UDNA架构,这将为公司更有
‍‍据龙芯中科介绍,近日,基于龙芯3A6000处理器的储迹NAS在南京师范大学附属小学丹凤街幼儿园、狮山路小学、南京大学附属中学等学校相继落地。储迹NAS是基于最新的龙芯CPU--3A6000,其代表
疫情后的劳动力囤积和强有力的员工保护规则掩盖了德国高薪制造业工作市场令人担忧的变化。根据联邦劳工办公室的数据,欧元区最大经济体德国的失业率在2019年春季曾达到历史最低点4.9%,现已上升至6%。虽然
[关注“行家说动力总成”,快速掌握产业最新动态]9月6日,据“内江新区”消息,晶益通(四川)半导体科技有限公司旗下IGBT模块材料和封测模组产业园项目已完成建设总进度的40%,预计在明年5月建成。据了
展位信息深圳跨境电商展览会(CCBEC)时间:2024年9月11-13日 9:30-17:30地点:深圳国际会展中心(宝安)展馆:16号馆 16D73/16D75 展位报名注册准备好“观众注册”入场二
在苹果和华为的新品发布会前夕,Counterpoint公布了2024年第一季度的操作系统详细数据,数据显示, 鸿蒙操作系统在2024年第一季度继续保持强劲增长态势,全球市场份额成功突破4%。在中国市场
随着汽车智能化升级进入深水区,车载ECU(域)以及软件复杂度呈现指数级上升趋势。尤其是多域、跨域和未来的中央电子架构的普及,以及5G/V2X等车云通信的增强,如何保障整车的信息与网络安全,以及防范外部