这项研究是由美国国土安全部所委托的研究,在美国黑帽网络安全论坛上发布。由Kryptowire首席执行官Angelos Stavrou和研究主管Ryan Johnson发布。他们表示,这些漏洞可以让有心人锁定手机上的特定功能并且取得允许权,而且形式都不固定,不易被发现。
Kryptowire的报告指出,这些漏洞最大的起因,来自于Android的开放生态。可以说是整个Android开放系统生态的副产品。由于生态开放,允许第三方厂商可以调校程序代码并且修正系统界面、创造完全不同版本的Android。而也因为这些生态,才导致产生手机安全的漏洞。
他们表示,在整个手机的供应链上,包括手机制造商、电信商、第三方软件商,很多人都想要增加他们自己的应用程序、定制化程序上去。这些都增加了攻击者可以切入的点,也增加了软件发生错误的可能性。而用户可能在一开始刚买到手机时并不会发现到这个问题,但久而久之,就会发现手机使用起来不稳定,跟其他程序会相冲宕机等等的问题。
由于本质上Android就是允许让人修改、定制化的系统,目的就是希望给消费者更多的选择。但也因此造成了安全上的难度。 Kryptowire表示,这个问题在Android的开放生态之下,是不可能消失的。
在这份报告中,他们主要针对Asus, Essential, LG, ZTE 四家厂商的不同手机进行报告,其中特别以华硕在美国电信商发售的Asus Zenfone V Live为例,来说明他们发现的漏洞。这个漏洞可以让用户的截屏、视频记录、打电话、阅读记录和短信等等信息被人窃取。
华硕自然是在第一时间就发布回应,表示他们已经在第一时间修复了那些漏洞,并且推送了安全更新给用户。
华硕的作法就跟所有手机厂商的作法一样,一旦被通报漏洞就会即刻修补,并在第一时间推送更新。不过,Kryptowire也指出,目前这种流程还是有相当的问题,首先用户必须要接受更新,纵使手机厂商一再试图推送更新,但是某些用户就是会选择拒绝。
另外,不同的设备也会有不同的问题。他们也以ZTE Blade Spark和Blade Vantage为例,固件的漏洞导致攻击者可以让任何应用程序去浏览短信、联系历史以及系统日志档,以及用户的Email、GPS信息。
其次,在Kryptowire的研究中发现,某些手机厂商在推送更新的过程中,由于更新往往需要时间去制作,耗费时间,而且一次可能会推出一堆的漏洞更新一次塞给用户,因此更新程序在推送的过程中,往往因为传输的原因而不完整,无法顺利更新。而更糟糕的是,大多数的用户对于自己使用设备的漏洞往往一无所知,也不会发现。