廉价 Android 手机的预装应用存在严重安全风险
在美国国土安全部资助的一项研究中,Kryptowire 在廉价的 Android 智能机上,发现了由预装应用造成的严重安全风险。这些 App 存在潜在的恶意活动,可能秘密录制音频、未经用户许可就变更设置、甚至授予自身新的权限 —— 这显然与 Android 设备制造商和运营商的固件脱不了干系。
类型占比(图自:Kyrptowire,via Cnet)
在新工具的帮助下,Kryptowire 得以在不需要接触手机本体的情况下,扫描固件中存在的漏洞。最终在 29 家制造商的 Android 设备上,查找到了 146 个安全隐患。
在被问及为何特别针对廉价 Android 设备展开软件安全调查时,Kryptowire 首席执行官 Angelos Stavrou 在一封邮件中解释称:这与谷歌对产品的管理态度,有着直接的关系。
Google 可能要求对进入其 Android 生态系统的软件产品进行更彻底的代码分析,并担负起供应商应有的责任。
当前政策制定者应要求该公司将最终用户的信息安全负起责任,而不是放任其置于危险之中。
对此,谷歌亦在一封邮件中称:其感谢合作并以负责任的态度来解决和披露此类问题的研究工作。
(厂商列表)
正如 Kryptowire 研究中发现的那样,预装应用通常为小型、无牌的第三方软件,其被嵌入到了较大的品牌制造商的预装功能中。
然而这类应用很容易构成重要的安全威胁,因为与其它类型的 App 相比,预装应用的权限要大得多、且很难被应用删除。
在 2017 年于拉斯维加斯举办的黑帽网络安全大会上,Kryptowire 披露了上海 Adups Technology 生产的廉价手机中的类似安全威胁。
该手机的预装软件被发现会将用户的设备数据发送到该公司在上海的服务器,而不会提醒这些用户,后续其声称该问题已得到解决。
2018 年的时候,Kryptowire 发布了面向 25 款 Android 入门机型预装固件缺陷的研究,同年谷歌推出了 Test Suite,以部分解决这方面的问题。
(部分漏洞详情)
尽管 Kryptowire 曝光的事情每年都难以避免,不过 Stavrou 认为,谷歌的整体安全策略,还是有所改善的。
他表示:“保护软件供应链是一个非常复杂的问题,谷歌和安全研究界一直在努力解决该问题”。
在今年黑帽安全会议(Black Hat 2019)的演示期间,谷歌安全研究员 Maddie Stone 表示:
“Android 设备的常见预装 App 有 100~400 款,从恶意行为者的角度来看,他只需说服一家企业来打包恶意 App,而无需说服成千上万的用户”。
来源:cnBeta
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
小说精品屋 v1.5.1 发布,小说阅读弹幕网站
小说精品屋-小说阅读弹幕网站 v1.5.1版本发布了,主要改进包括: 更新 后台管理系统集成java2nbSDK,解决部分用户后台项目无法构建的问题。 爬虫优化。 介绍 小说精品屋是一个多平台(包括 web、安卓和小程序平台)、功能完善的小说弹幕网站,包含精品小说专区和轻小说专区。包括小说分类、小说搜索、小说排行、完本小说、小说评分、小说在线阅读、小说书架、阅读记录、小说下载、小说弹幕、小说自动爬取、小说内容自动分享到微博、邮件自动推广、链接自动推送到百度搜索引擎等功能。包含电脑端、移动端、微信小程序等多个平台,现已开源 web 端、安卓端、小程序端源码,大家可以用于学习或者商用。 目录结构 novel-front : 前台web网站源码 novel-admin :平台后台管理系统源码 软件架构 前台web网站架构:Springboot+Mybatis+Mysql+Ehcache+Thymeleaf+Layui 平台后台管理系统架构 : Springboot+Mybatis+Mysql+Redis+Thymeleaf+Layui+Bootstrap 前台web网站截图 电脑端(首页) ...
- 下一篇
VS Code 可自搭建 Web 版 | C++ 之父讨厌其语言被用于挖比特币
回顾一周社区热门资讯 第【四十八】期:20191109-20191115 点击相应标题,跳转阅读全文。 VS Code 1.40 发布,可自行搭建 Web 版 VS Code 开发者已经可以直接从 VS Code 的源代码编译出 Web 版 VS Code。如果你已经下载并且构建了 VS Code的源代码,只需运行 yarn web,就能在http://localhost:8080/访问。 Gradle 6.0 发布 此版本主要亮点是大大改进了依赖关系管理中的功能集。 Python 取代了 Excel 在银行业务中的地位? “Python已经取代了 Excel。在交易大厅里,你可以看到很多人都在编写 Python代码,在未来三到四年内,这种情况将变得更加普遍。” openSUSE 投票结果:不改名了 此前社区讨论将 openSUSE 从 SUSE 公司独立出来,主要关注点是希望openSUSE 项目在其治理与更广泛社区的互动方面获得更大的自主权,随后又相应进行了项目是否改名的讨论。 云原生数据库系统 Vitess 从 CNCF 毕业,同时发布 4.0 版本 成为该基金会第 8 个毕业项...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果