在美国国土安全部资助的一项研究中,Kryptowire发现廉价Android智能手机上的预装应用程序存在严重的安全风险。这些应用程序潜在的恶意活动,可能会偷偷录制音频,未经用户许可更改设置,甚至授予自己新的权限——这显然与安卓设备制造商和运营商的固件密不可分。类型比(图片来自:Kyrptowire,viaCnet)在新工具的帮助下,Kryptowire可以在不接触手机机身的情况下扫描固件中的漏洞。最终在29家厂商的Android设备上发现了146个漏洞。当被问及为何专门针对廉价安卓设备展开软件安全调查时,KryptowireCEOAngelosStavrou在邮件中解释道:这与谷歌对产品的管理态度有直接关系。谷歌可能会要求对进入其Android生态系统的软件产品进行更彻底的代码分析,并追究供应商的责任。当前的政策制定者应该让公司对最终用户信息的安全负责,而不是将其置于风险之中。对此,谷歌也在一封邮件中表示:对解决和披露此类问题的研究工作的合作和负责任的态度表示赞赏。(供应商列表)正如Kryptowire研究中发现的那样,预装应用程序通常是小型的、未经许可的第三方软件,嵌入在较大品牌制造商的预装功能中。然而,此类应用程序很容易造成重大安全威胁,因为与其他类型的应用程序相比,预装应用程序的权限要大得多,并且很难被应用程序删除。在拉斯维加斯举行的2017年黑帽网络安全会议上,Kryptowire披露了上海AdupsTechnology生产的廉价手机中存在类似的安全威胁。手机的预装软件被发现在没有提醒用户的情况下将用户的设备数据发送到该公司位于上海的服务器,后来该公司声称问题已得到解决。2018年,Kryptowire发布了一份关于25款Android入门级机型预装固件缺陷的研究报告。同年,Google推出了TestSuite来部分解决这个问题。(部分漏洞详情)虽然Kryptowire的曝光每年都在所难免,但Stavrou认为谷歌的整体安全策略已经有所提升。“保护软件供应链是一个非常复杂的问题,谷歌和安全研究社区一直在努力解决,”他说。在今年的黑帽安全大会(BlackHat2019)上的演讲中,谷歌安全研究员MaddieStone表示:“Android设备上有100-400种常见的预装应用程序,从恶意行为者的角度来看,他只需要说服一家企业可以在不说服成千上万用户的情况下打包恶意应用程序。”
