研究人员发现,许多Android设备都存在固件漏洞

根据Wired的说法,华硕,Essential,LG和中兴通讯都发誓要修补移动安全公司Kryptowire发现的安全漏洞。该公司的研究旨在指出,一些安全漏洞源于电话公司编写的用于修改Android的代码。

根据Wired的说法,研究人员在美国主要航空公司的10个独立设备的固件中发现了漏洞,该报告看到了Kryptowire报告的早期版本。安全漏洞可能导致一切,包括让攻击者将某人锁定在他们的设备之外,以及控制他们的麦克风等等 - 尽管研究人员详细介绍的大多数攻击要求用户在他们可以利用之前下载某种恶意应用程序固件中存在的孔洞。他们的研究由美国国土安全部资助,今天将在Black Hat USA安全会议上展示。

根据Kryptowire的说法,这些漏洞源于Android的开放性,允许第三方调整代码并修改干扰或创建完全不同版本的Android。然而,正如研究人员所发现的那样,这种开放式系统也可能导致手机安全性出现漏洞。Wired表示,研究将这些缺陷视为Android特有的问题。

“供应链中的很多人希望能够添加自己的应用程序,定制,添加自己的鳕鱼,”Kryptowire首席执行官Angelos Stavrou告诉Wired。“这会增加攻击面,并增加软件错误的可能性。”

Asus Zenfone V Live智能手机中发现了一个特别糟糕的例子。根据Wired的说法,Kryptowire在其代码中找到了足够的漏洞,让用户完全接管他们的设备 - 可以截取他们的屏幕截图和录像,理论上,有人可以阅读和更改他们的短信。华硕表示,它“已经意识到最近的安全问题”,而且正在“努力,迅速地解决这些问题”。

必需品,LG和中兴通讯都对Wired做出回应,声明他们已经解决了Kryptowire在被公司提醒后发现的部分或全部问题。然而,这些补丁是否已经推广给所有用户还不太清楚,因为只有AT&T确认它已经部署了任何这些更新。正如研究人员所指出的那样,这个更新过程本身已经被许多人打破,更新通常需要几个月的时间才能完成并为用户提供。

  • 发表于:
  • 原文链接https://www.theverge.com/2018/8/10/17677206/android-devices-firmware-security-flaws-kryptowire
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券