開放生態未必是好事！Android被指問題多，多數出廠固件就帶有漏洞

這項研究是由美國國土安全部所委託的研究，在美國黑帽網路安全論壇上發布。由Kryptowire首席執行官Angelos Stavrou和研究主管Ryan Johnson發布。他們表示，這些漏洞可以讓有心人鎖定手機上的特定功能並且取得允許權，而且形式都不固定，不易被發現。

Kryptowire的報告指出，這些漏洞最大的起因，來自於Android的開放生態。可以說是整個Android開放系統生態的副產品。由於生態開放，允許第三方廠商可以調校程序代碼並且修正系統界面、創造完全不同版本的Android。而也因為這些生態，才導致產生手機安全的漏洞。

他們表示，在整個手機的供應鏈上，包括手機製造商、電信商、第三方軟體商，很多人都想要增加他們自己的應用程序、定製化程序上去。這些都增加了攻擊者可以切入的點，也增加了軟體發生錯誤的可能性。而用戶可能在一開始剛買到手機時並不會發現到這個問題，但久而久之，就會發現手機使用起來不穩定，跟其他程序會相衝宕機等等的問題。

由於本質上Android就是允許讓人修改、定製化的系統，目的就是希望給消費者更多的選擇。但也因此造成了安全上的難度。 Kryptowire表示，這個問題在Android的開放生態之下，是不可能消失的。

在這份報告中，他們主要針對Asus, Essential, LG, ZTE 四家廠商的不同手機進行報告，其中特別以華碩在美國電信商發售的Asus Zenfone V Live為例，來說明他們發現的漏洞。這個漏洞可以讓用戶的截屏、視頻記錄、打電話、閱讀記錄和簡訊等等信息被人竊取。

華碩自然是在第一時間就發布回應，表示他們已經在第一時間修復了那些漏洞，並且推送了安全更新給用戶。

華碩的作法就跟所有手機廠商的作法一樣，一旦被通報漏洞就會即刻修補，並在第一時間推送更新。不過，Kryptowire也指出，目前這種流程還是有相當的問題，首先用戶必須要接受更新，縱使手機廠商一再試圖推送更新，但是某些用戶就是會選擇拒絕。

另外，不同的設備也會有不同的問題。他們也以ZTE Blade Spark和Blade Vantage為例，固件的漏洞導致攻擊者可以讓任何應用程序去瀏覽簡訊、聯繫歷史以及系統日誌檔，以及用戶的Email、GPS信息。

其次，在Kryptowire的研究中發現，某些手機廠商在推送更新的過程中，由於更新往往需要時間去製作，耗費時間，而且一次可能會推出一堆的漏洞更新一次塞給用戶，因此更新程序在推送的過程中，往往因為傳輸的原因而不完整，無法順利更新。而更糟糕的是，大多數的用戶對於自己使用設備的漏洞往往一無所知，也不會發現。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！