研究显示绝大多数安卓智能手机出厂时就存在大量漏洞

【腾讯科技编者按】在我们传统的印象中，智能手机的安全问题大部分都是由于我们自己操作不当造成的，比如点击了不安全的链接、安装了错误的应用程序等等。但对于成百上千万的安卓设备来说，其实造成这种局面的根本原因就是设备本身存在漏洞，并且被隐藏在固件中，只是等待着被用户“不小心”发现或利用而已。那么这些漏洞是谁“造成”的呢？有两种可能，有些是智能手机制造商，还有一些可能是将手机卖给你的运营商。

这个新发现来自于移动安全公司Kryptowire的最新研究报告，该公司详细介绍在10部由美国主要运营商销售的智能手机中“自带”的大量令人不安的漏洞。Kryptowire首席执行官Angelos Stavrou和研究主管Ryan Johnson在本周五的黑帽安全会议上公布了自己最新的研究成果，该项目主要是由美国国土安全部负责资助。

这些漏洞在造成潜在后果的严重程度上，可以让不法之徒秘密锁定设备的麦克风以及其它功能的权限。这些漏洞都有一个共同的特点：形式不固定，不易被发现。

相反，这些漏洞算是安卓这种开放性操作系统的“副产品”，可以让第三方公司根据自己的喜好任意修改代码。从本质上来说，这并没有什么错误：安卓本身就允许被修改，给人们更多的选择。比如谷歌在今年秋天发布的新一代Android Pie操作系统，同样也会有各种各样的定制版本。

不过这些修改过的系统导致出现了令人头疼的问题，包括安全更新方面的延迟。就像Stavrou和他的团队所发现的问题一样，这些漏洞会导致固件出现错误，将用户置于危险中。

“这些问题不会消失，因为在整个智能手机的供应链环节中，有很多人都希望能够添加自己的应用程序，添加自己的代码。这也增加了智能手机被攻击的风险，提高了软件出现错误的可能性。”Stavrou表示。“正是这样的趋势，让用户手中的终端最终出现了各种各样的问题。”

这次黑帽会议主要研究的设备集中在了华硕、LG、Essential和中兴等几款设备上。

在获得DHS资助时，Kryptowire的研究并没有提到这一点，在研究的初期团队并未关注制造商的意图，而是着眼于更广泛的安卓生态系统参与者如何“助长”了这种糟糕的代码问题。

以华硕ZenFone V Live为例，Kryptowire公司发现，漏洞可以让用户被暴露在整个系统的接管过程中，包括对用户的截屏、视频记录、打电话、阅读记录和短信修改等。

随后，华硕立即发表了一份声明：“我们已经意识到外界对ZenFone安全性的担忧，并且第一时间努力修复和解决这些问题。我们将通过软件升级的方式解决这些问题，同时会陆续向ZenFone用户推送升级通知。华硕致力于不断提高用户的安全和隐私，我们积极鼓励所有用户第一时间更新到最新版本系统，确保智能手机的安全性。”

华硕能拥有如此迅速的反应，是非常让人称道的。但Stavrou要质疑的是这种修复程序的有效性。“用户必须接受这个补丁，但当制造商将更新不断推送到智能手机上时，还是有用户拒绝更新。”他还指出，在Kryptowire测试的一些型号中，更新在过程中就已经被破坏，而这一发现也得到了德国安全研究实验室最新的一项研究成果的支持。

根据Kryptowire的研究结果显示，想要进行攻击，大部分都需要用户安装特定的应用程序，有些应用的漏洞甚至不需要获取特殊权限。换句话说，应用本身不会造成危害，但由于它们会访问你的文本，调取系统日志，就会让系统本身的漏洞暴露无遗。

而不同的设备，这种情况也会引发不同的后果。比如中兴Blade Spark和Blade Vantage，固件缺陷可以允许任何应用程序访问文本消息、通话记录以及系统日志文件，另外还包括诸如电子邮件和GPS坐标这样的敏感信息。而在Kryptowire的报告上，问题最严重的是LG G6，漏洞不仅会曝光系统日志，而且还可以远程将用户的设备锁定。攻击者可以将智能手机重新还原，并且清除掉数据和缓存。

“我们发现漏洞后，团队就已经开始着手修复。”LG通讯部门主管Shari Doherty表示。

LG似乎已经解决了一些问题，但并不是所有问题。“公司已经意识到这些漏洞的存在，并且引入了安全更新来解决这些问题。事实上，报告中提到的大部分漏洞都已经被修复，或者被列入了即将维护更新的名单中，这些更新与安全风险无关。”LG在一份声明中表示。

中兴也已经发表了声明，表示已经或正在与运营商合作，来提供修复这些问题的更新。“中兴会继续与合作伙伴及运营商合作，持续为用户提供更新版本，保护消费者的设备。”

AT&T的发言人已经表示，公司开始部署制造商的软件补丁来解决问题。Verizon、T-Mobile和Sprint暂时还没有对此问题进行回应。

通过这一系列的声明和进展，我们看到了关键问题的所在。Stavrou表示，这些更新可能需要几个月的时间来创建和测试，对制造商和运营商来说都是一种挑战。对用户来说，能做的只有等待，因为这个问题用户自己无法解决，甚至根本就意识不到。（编译/音希）