源之原味

研究人员发现, 许多 Android 设备具有固件漏洞。

 

抽象

这篇文章来自theverge.com。原文网址是: https://www.theverge.com/2018/8/10/17677206/android-devices-firmware-security-flaws-kryptowire

以下内容由机器翻译生成。如果您觉得可读性不好, 请阅读原文或 点击这里.

asus、必需、lg 和中兴通讯都发誓要修补移动安全公司 kryptowire 发现的安全缺陷, 根据 有线.该公司的研究意在指出, 一些安全崩溃源于电话公司为修改 android 而编写的代码。

研究人员发现, 美国各大运营商的10台独立设备的固件存在缺陷。 有线, 其中看到了早期版本的 kryptowire 的报告。从让攻击者将某人锁在设备外, 到控制他们的麦克风等, 安全漏洞可能导致一切, 尽管研究人员详细介绍的大多数攻击都要求用户下载某种恶意应用之前, 他们可以利用固件中存在的漏洞。他们的研究, 由国土安全部资助, 今天将在 黑帽美国 安全会议。

根据 kryptowire 的说法, 这些漏洞源于 android 的开放性, 它允许第三方调整代码, 修改干扰或创建完全不同的 android 版本。然而, 正如研究人员发现的, 这种开放式系统也会导致手机安全性的差距。 有线 研究称, 研究将这些缺陷视为 android 特有的问题。

克里普托伊尔首席执行官安杰洛斯·斯塔夫鲁说: "供应链中的很多人都希望能够添加自己的应用程序, 定制自己的鳕鱼" 有线."这增加了攻击面, 并增加了软件错误的概率。

一个特别糟糕的例子被发现在 ahsus zenfone v live 智能 手机。根据 有线, kryptowire 在其代码中发现了足够多的漏洞, 可以让用户完全接管他们的设备--屏幕截图和视频记录可以被拿走, 理论上有人可以阅读和更改他们的短信。阿苏斯表示, "意识到最近的安全问题", 正在用补丁 "勤奋工作, 迅速解决"。

基本、lg 和中兴通讯都响应了 有线 声明说, 他们已经解决了 kryptowire 在接到该公司警报后发现的部分或全部问题。不过, 这些补丁是否已经推广到所有用户中并不那么清楚, 因为只有美国电话电报公司证实已经部署了这些更新中的任何一个。正如研究人员所指出的, 这个更新过程本身就是 打破了许多, 更新通常需要几个月的时间来整理, 并向用户提供服务。

Leave A Reply

Your email address will not be published.