據外媒報道,華碩、Essential、LG和中興都發誓要推出安全補丁,堵塞移動安全公司Kryptowire發現的漏洞。該安全公司的研究發現,一些安全漏洞來自於手機公司為修改安卓操作系統而編寫的代碼中。
研究人員在接入美國主流運營商網絡的10款不同手機的固件中均發現了漏洞。這些安全漏洞可能會帶來一些非常嚴重的後果,例如黑客鎖住手機,讓用戶本人無法使用,又如黑客控制用戶手機的麥克風或其他功能。但是,這些研究人員發現,就大多數攻擊活動而言,黑客往往需要用戶先下載惡意應用程序,然後才能利用固件中的漏洞發起攻擊。他們的研究結果已在美國黑帽安全大會上進行了彙報。他們的研究得到了美國國土安全部門的資助。
Kryptowire公司稱,這些漏洞源於安卓操作系統的開放性。安卓操作系統允許第三方修改代碼、調整用戶界面或開發完全不同的安卓。這樣的開放系統可能會給手機帶來安全隱患。研究人員發現,這些漏洞是安卓操作系統獨有的。
“很多手機商都希望添加自己的應用程序,進行個性化設計以及添加自己的代碼。”Kryptowire公司CEO安吉洛斯-斯塔夫羅(Angelos Stavrou)說,“這增加了黑客攻擊的面積,提高了軟件出錯的可能性。”
一個特別糟糕的例子發生在華碩Zenfone V Live智能手機上。Kryptowire公司在這款手機的代碼中發現了很多安全漏洞,足以讓用戶完全暴露在黑客的掌控之中。黑客可以利用用戶的手機進行截屏和錄像,而且還能夠閱讀和修改他們的短信信息。華碩稱,它“已清楚了這些安全漏洞,並在積極地準備安全補丁進行修復。”
Essential、LG和中興均發表聲明稱,在接到Kryptowire公司的警告信息後,它們已修復了該公司發現的全部或部分漏洞。我們並不清楚這些安全補丁是否能夠發送給所有用戶。現在只有無線運營商AT&T證實,它已推送了針對上述漏洞的所有更新程序。正如研究人員指出的,更新過程本身就存在缺陷。更新程序往往需要幾個月才能推出併發到用戶手中。
閱讀更多 小段段段段段 的文章
