美國國土安全部研究指 Android 手機問題多，系統開放生態是原罪 根據 Wired 報導，資安公司 Kryptowire 發現，許多 Android 手機的程式碼都含有不同 漏洞，安全專家研究了十款美國電信商發售不同公司的主流行動裝置韌體，發現都有漏洞 ，導致攻擊者可鎖定手機，並取得裝置控制權。 這項研究是由美國國土安全部委託研究，在美國黑帽資安論壇發表，由 Kryptowire 執行 長 Angelos Stavrou 和研究主管 Ryan Johnson 發表。他們表示，這些漏洞讓有心人鎖 定手機特定功能並取得允許權，且形式不固定，不易被察覺。 Kryptowire 報告指出，這些漏洞最大的起因，來自 Android 的開放生態，可說是整個 Android 開放系統生態的副產品。由於生態開放，允許第三方廠商調校程式碼並修正系統 介面、創造完全不同版本的 Android。也因為這生態，才導致手機的安全漏洞。 他們表示，整個手機的供應鏈，包括手機製造商、電信商、第三方軟體商，很多人都想增 加自己的應用程式、客製化程式，這些都增加攻擊者可切入的點，也增加軟體發生錯誤的 可能性。使用者可能一開始買到手機時並不會察覺到問題，但久而久之，就會發現手機用 起來不穩定，跟其他程式會相衝當機等問題。 由於本質上 Android 就是允許讓人修改、客製化的系統，目的就是希望給消費者更多選 擇，因此造成安全上的難度。Kryptowire 表示，這個問題在 Android 的開放生態下不可 能消失。 報告主要針對 Asus、Essential、LG、ZTE 4 家廠商的不同手機，其中特別以華碩在美國 電信商發售的 Asus Zenfone V Live 為例，說明他們發現的漏洞。這個漏洞可讓使用者 的截圖、視訊紀錄、打電話、閱讀紀錄和簡訊等資訊被人竊取。 華碩自然第一時間就回應，表示他們已修復了那些漏洞，並推送安全更新給用戶。 華碩做法就跟所有手機廠商一樣，一旦被通報漏洞就即刻修補，並第一時間推送更新。不 過，Kryptowire 也指出，目前這種流程還是有相當的問題，首先用戶必須接受更新，縱 使手機廠商一再試圖推送更新，但某些用戶就是選擇拒絕。 另外，不同的裝置也會有不同的問題。他們也以 ZTE Blade Spark 和 Blade Vantage 為 例，韌體的漏洞導致攻擊者讓任何應用程式瀏覽簡訊、通話紀錄及系統日誌檔，甚至使用 者的 Email、GPS 資訊。 其次，Kryptowire 的研究發現，某些手機廠商推送更新的過程中，由於往往需要時間製 作，耗費時間，且可能推出一堆漏洞的更新一次塞給用戶，更新程式在推送過程中，往往 因傳輸問題而不完整，無法順利更新。更糟糕的是，大多數使用者對自己使用裝置的漏洞 往往一無所知，也不會察覺。 https://goo.gl/a7m2jF ------------------------------------- 內文指出開放的系統、可供廠商調校程式碼與修改系統介面， 是安卓系統不安全的原罪。 以往當系統發生重大的資安漏洞時， 通常是由廠商推送更新來阻絕漏洞， 但由於人手或其他因素， 常是多種漏洞一齊更新， 可能會因為傳輸不完整造成系統更新出問題， 造成手機故障等負面結果， 板上也時有所聞，一有更新「勇者你先上」。 不過文末也提到，多數用戶對自己裝置的漏洞事毫不知情， 如果加強使用者對資安與漏洞上的防護意識， 將是這個世代重要的議題之一。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 163.26.148.60 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1534213173.A.843.html