研究发现Android的开放性导致设备附带漏洞

Android平台以安全性不佳而著称，尽管该系统具有许多优势和改进之处，但情况并没有得到应有的改善。安全公司Kryptowire的最新研究发现，许多Android设备都存在一些现成的漏洞，其中包括直接从无线运营商处获得的漏洞。不幸的是，问题的根源来自Android最大和最古老的优点之一：它的开放性和可修改的能力。

Kryptowire发现了运营商出售的十种不同手机，这些手机开箱即用，都存在安全漏洞和固件漏洞，其中包括华硕，Essential，LG和中兴的设备。这些漏洞的严重程度各不相同，但其中包括安全漏洞，这些漏洞可能导致攻击，例如被锁定在设备之外，无法远程控制摄像头或麦克风。

不幸的是，这些不是通过安全更新轻松修补的漏洞。Kryptowire解释说，问题的根源在于制造商和运营商针对不同目的对Android进行调整和定制的能力。这导致安全漏洞，不仅难以识别，而且对于Android生态系统的一小部分也是唯一的。Kryptowire的首席执行官Angelos Stavrou解释说：

“问题不会消失，因为供应链中的许多人都希望能够添加自己的应用程序，自定义并添加自己的代码。这增加了攻击面，并增加了软件错误的可能性。他们使最终用户遭受最终用户无法响应的攻击。”

大多数利用这些固件漏洞的攻击都要求用户安装带有恶意代码的应用程序，然后用户才能工作。不过，最糟糕的例子之一是在华硕的Zenfone V Live智能手机中发现的，该智能手机具有足够的安全漏洞，可以允许“整个系统接管，包括拍摄用户屏幕的屏幕截图和视频记录，拨打电话，阅读和修改文本消息等等。”

Kryptowire已将发现的漏洞通知了许多制造商和运营商，华硕表示已经意识到了这些问题，并且正在“努力并迅速解决这些问题”，并发布了补丁。Essential，LG和中兴表示，它们的某些或全部缺陷已在安全公司通知后得到修复。

问题再次仍然存在，因为Android生态系统依赖于不同的运营商根据自己的时间表发布针对不同设备的更新，从而使许多用户等待或完全不知道。