一项关于制造商和运营商造成的固件漏洞的新研究中,来自华硕、LG、Essential和中兴的Android智能手机是焦点所在。

据《连线》网站报道,研究人员发现,数以百万计的Android设备出货之时便存在固件漏洞,容易受到攻击,用户可以说防不胜防。

智能手机因安全问题而崩溃往往是自己造成的:你点击了错误的链接,或者安装了有问题的应用。但对于数以百万计的Android设备来说,这些漏洞早就潜藏于固件当中,被利用只是迟早的问题。这是谁造成的呢?在某种程度上,制造设备的制造商和销售设备的运营商都有责任。

这是移动安全公司Kryptowire的最新研究分析得出的主要结论。Kryptowire详细列出了在美国主流运营商销售的10款设备中预装的漏洞。Kryptowire首席执行官安杰罗斯·斯塔夫鲁(Angelos Stavrou)和研究总监莱恩·约翰逊(Ryan Johnson)将在周五的Black Hat安全会议上展示他们的研究成果。该项研究是由美国国土安全部资助的。

这些漏洞的潜在后果可大可小,比如锁住设备让机主无法使用,秘密访问设备的麦克风和其他的功能。

“这个问题不会消失。”——Kryptowire首席执行官安杰罗斯·斯塔夫鲁

Android操作系统允许第三方公司根据自己的喜好改动代码和进行定制,而那些固件漏洞正是这种开放性的副产品。开放本身没有什么问题;它让厂商能够寻求差异化,给人们带来更多的选择。谷歌将在今年秋天正式推出Android 9 Pie,但最终该新系统将会有各种各样的版本。

不过,那些代码改动会带来一些令人头痛的问题,其中包括安全更新推送的延迟问题。正如?斯塔夫鲁和他的团队所发现的,它们还可能会导致固件漏洞,将用户置于危险当中。

“这个问题不会消失,因为供应链中的许多人都希望能够添加自己的应用程序,自定义定制,以及添加自己的代码。这增加了可被攻击的范围,增加了软件出错的可能性。”斯塔夫鲁指出,“他们让终端用户暴露于终端用户无法应对的漏洞当中。”

Kryptowire在Black Hat上的讲话聚焦于来自华硕、LG、Essential和中兴通讯的设备。

Kryptowire的研究关注的并不是制造商的意图,而是整个Android生态系统的参与者共同造成的广泛存在的代码低劣问题。

以华硕ZenFone V Live为例,Kryptowire发现,该款手机的整个系统都被接管控制,包括对用户屏幕的截图和录像、打电话、浏览和修改短信等等。

“华硕意识到最近ZenFone的安全问题,正努力通过软件更新来加快解决问题,软件更新将无线推送给ZenFone用户。”华硕在一份声明中表示,“华硕致力于保障用户的安全和隐私,我们强烈建议所有的用户更新到最新的ZenFone软件,以确保获得安全的用户体验。”

现阶段,要解决自己造成的烂摊子,推送更新是华硕唯一能够做的。但斯塔夫鲁对这种修补过程的有效性表示怀疑。“用户必须要接受并安装这个补丁。所以即使他们把它推送到用户的手机上,用户可能也不会去安装更新。”他说道。他还指出,在Kryptowire测试的一些机型上,更新过程本身就被中断了。这一发现也得到了德国安全公司Security Research Labs最近的一项研究的支持。

Kryptowire所详述的攻击基本上都需要用户去安装应用。然而,虽然正常来说可以通过一个不错的方法来规避潜在的攻击,即坚持使用谷歌官方应用商店Google Play来下载应用,但斯塔夫鲁指出,让这些漏洞变得如此有害的是那些应用程序在安装时并不需要授予特别的权限。换句话说,应用程序不必诱使你提供访问你的短信和通话记录的权限。得益于存在缺陷的固件,它可以轻而易举地、悄无声息地获取你的短信和通话记录。

攻击最终可能会导致各种各样的后果,具体要看你使用的是什么设备。就中兴Blade Spark和Blade Vantage而言,固件缺陷会允许任何应用程序访问短信、通话数据和所谓的日志记录(收集各种系统消息,可能包括电子邮件地址、GPS坐标等敏感信息)。在LG G6(Kryptowire的研究报告中最流行的一款机型)上,漏洞可能会暴露日志记录,或者被用来锁定设备让机主无法访问。攻击者还可能会重置Essential Phone手机,清除它的数据和缓存。

“在我们意识到这个漏洞以后,我们的团队立即进行了修复。”Essential公关主管莎丽·多尔蒂(Shari Doherty)说道。

你完全无法自己去解决问题,也无法早早发现问题的存在。

LG似乎已经解决了一些潜在的问题,但还没有完全解决。“LG此前了解到了这些漏洞,并已经发布了安全更新来解决这些问题。事实上,报告提到的漏洞大多数都已经被修补,或者已经被纳入即将到来的与安全风险无关的定期维护更新。”该公司发表声明称。

至于中兴通讯,该公司在一份声明中表示,它“已经推送安全更新,今天也在与运营商合作推送修复这些问题的维护更新。中兴通讯将继续与技术合作伙伴和运营商客户合作,未来持续提供维护更新,继续保护消费者的设备。”

AT&T的一位发言人证实,该运营商已经“部署了制造商的软件补丁来解决这个问题”。Verizon和Sprint没有回复记者的置评请求。

这一连串的声明显示出了进展,但也凸显了一个关键的问题。斯塔夫鲁说,这些更新可能需要几个月的时间来创建和测试,需要经过从制造商到运营商再到客户的多重检验。在你等待更新的过程中,你完全无法自己去解决问题,也无法早早发现问题的存在。

“有一点是可以确定的,那就是没有人保障消费者的安全。”斯塔夫鲁指出,“该漏洞问题在系统中根深蒂固,消费者可能无法判断它是否存在。即使他们意识到它的存在,他们也毫无办法,只能等待制造商、运营商或任何更新固件的人来提供帮助。”

与此同时,这一发现只是Kryptowire最终将公开的诸多发现中的第一个发现。(为了让各家企业足够的时间做出反应,它还没有公开全部的发现。)

“我们要感谢Kryptowire的安全研究人员为加强Android生态系统的安全性所做的努力。他们所概述的问题并不影响Android操作系统本身,但是会影响设备上的第三方代码和应用程序。”谷歌发言人在声明中称。

第三方代码和那些应用程序短期内似乎还不会消失。只要它们还在那里,那些令人头痛的潜藏隐患就还会存在。

 

 

 

qrcode_EETCwechat_120.jpg

关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”

阅读全文,请先
您可能感兴趣
尽管生成式AI令人感到惊喜,但很多创新还没有真正落实到每个用户或企业的AI应用上。为了开发出真正不可或缺的“AI杀手级应用”,必须加快创新步伐,激励更多开发者致力于AI领域的开发和创新活动。
为了确保英国市场的竞争不受影响,CMA将对这一收购事宜进行调查。CMA称,允许相关方提交有关该交易可能对英国竞争产生影响的初步意见。
“神玑 NX9031”采用5nm车规工艺制造的高阶智能驾驶芯片,其芯片和底层软件均已实现自主设计,拥有超过500亿颗晶体管。该芯片采用32核超强CPU架构,并集成了高性能图像信号处理器ISP和各类推理加速单元NPU,能够灵活高效地运行各类AI算法。
在中国先进制程被封锁、算力芯片的峰值性能落后的大背景下,中国应该如何应对挑战呢?唐志敏认为,应该全栈协同,突破算力芯片和系统的关建技术,即需要系统级思维,在限制条件下求全系统的最忧解,不追求芯片峰值性能的绝对领先,通过协同创新、全栈优化,得到领先的性能。
微软还指出,由于与欧盟达成的协议,公司无法做出类似的改变来提高操作系统的安全性。因此,当第三方安全软件更新出现缺陷时,这些措施进一步加剧了问题的严重性。
通过收购Wiz,Alphabet将能够显著增强其在云计算市场的竞争力。Wiz的全方位云业务对于拥有大量计算资源的大型公司来说非常有吸引力,这有助于Alphabet在这一领域进一步巩固其市场地位。
• 目前,iPhone在翻新市场中是最热门的商品,并将长期主导着翻新机的平均销售价格。 • 全球翻新机市场持续向高端化发展,其平均销售价格(ASP)现已超过新手机。 • 新兴市场是增长的最大驱动力,消费者对高端旗舰产品有着迫切需求。 • 由于市场固化和供应链的一些问题限制推高中国、东南亚和非洲等大市场的价格。 • 2024年,这些翻新机平均销售价格将首次超过新手机。
从全球厂商竞争来看,三季度凭借多个新品发布,石头科技市场份额提升至16.4%,连续两季度排名全球第一……
最新Wi-Fi HaLow片上系统(SoC)为物联网的性能、效率、安全性与多功能性设立新标准,配套USB网关,可轻松实现Wi-Fi HaLow在新建及现有Wi-Fi基础设施中的快速稳健集成
其中包含Wi-Fi 7和蓝牙5.4 模组FME170Q-865、Wi-Fi 6和蓝牙5.4 模组FCS962N-LP、Wi-Fi 6和蓝牙5.3模组FCU865R 、独立Wi-Fi和蓝牙模组FGM840R、高功率Wi-Fi HaLow模组FGH100M-H……
来源:《中国半导体大硅片年度报告2024》2016 年至 2023 年间,全球半导体硅片(不含 SOI)销售额从 72.09 亿美元上升至121.29 亿美元,年均复合增长率达 7.72%。2016
01周价格表02周价格观察硅料环节本周硅料价格:N型复投料主流成交价格为40元/KG,N型致密料的主流成交价格为38元/KG;N型颗粒硅主流成交价格为35元/KG。供给动态头部料企继续推进减产策略,月
据报道,由于多种芯片需求疲软,日本芯片制造商瑞萨电子今年将裁员数百人。瑞萨电子已通知员工,计划在日本和海外的 21000 个岗位中裁员不到 5%。该公司还将推迟原定于春季实施的定期加薪。瑞萨电子的一位
1月8日消息,奥康国际发布公告称,终止发行股份购买资产,公司股票将于1月8日开市起复牌。至此,奥康国际谋划的跨界收购芯片公司事项告一段落。奥康国际在公告中介绍,公司于2024年12月24日披露了《关于
1月9日,市场研究机构CINNO Research发布2024年全球智能手机面板出货报告称,2024年全球智能手机面板出货量或将同比增长8.7%至22.7亿片,达到历史新高。主流手机品牌全球面板采购量
据知情人士透露,软银集团及其持有多数股权的Arm正在探索收购Ampere Computing的交易。匿名知情人士表示,甲骨文支持的半导体设计公司Ampere在探索战略选择时引起了Arm的收购兴趣。不过
当地时间2025年1月7日,全球备受期待的技术盛宴——国际消费电子展(CES 2025)在美国拉斯维加斯盛大开幕。作为显示领域的领军企业,天马携一系列前沿创新技术和最新智能座舱解决方案惊艳登场,带来手
  在千级电子净化车间中设置通风系统时,需要综合考虑多个因素,包括洁净度要求、换气次数、气流组织、空气处理、温湿度控制以及节能与环保等。以下是合洁科技电子洁净工程公司的一些具体的设
近日,闻泰科技在一场电话会议中阐述了其出售ODM(原始设计制造)业务的战略考量。           闻泰科技表示,基于地缘政治环境变化,考虑到 ODM 业务稳健发展和员工未来发展利益最大化,公司对战
1月8日消息,据外媒报道,由于半导体行业需求衰退,日本瑞萨电子将在日本及海外裁员数百人,并且定期加薪也将被推迟!据报道,瑞萨电子在日本和海外有约21,000名员工,本次裁员比例近5%。这一裁员计划已于