(圖/翻攝自 Pixabay)
據外媒《Wired》消息,一項美國國土安全部注資、資安公司「Kryptowire」主導的資安研究計畫指出,全球可能有數百萬台 Android 裝置,從一出廠就已經面臨資安風險,根本原因則來自於 Android 手機的開放生態。
儘管「Kryptowire」稱,大多數他們發現的攻擊,還是要用戶真的安裝了藏有惡意程式碼的 App,才會觸發 Android 系統的潛在風險,但已知的多數攻擊套路,則是能在不知會用戶、也不需要用戶同意的情況下,就悄悄取得系統權限,從而能完全取用用戶的個資,如訊息、電話、登錄密碼,甚至能直接側錄螢幕畫面,或啟用麥克風錄音。
「Kryptowire」的研究負責人也指出,出於產品需要,Android 系統允許各家廠商重新調整程序碼,如製作子版本或推出自己的 App,但更多的第三方修改除了增加駭客可攻擊的點,也提高了 Google 或各廠商推送安全補丁的成本。「Kryptowire」並點名 ASUS 華碩、LG、Essential、中興 4 家廠商可能有資安風險。
報導中以 ZenFone Live 為例,整個系統的權限有被接管的風險,導致螢幕被側錄、自動撥打電話等等;LG G6 則有曝露 Logcat 指令,讓駭客能一窺各種個資,如 GSP 位址,或是讓用戶無法登入裝置的風險。儘管廠商們皆回應,表示已知的新漏洞都會在第一時間就推送更新,但「Kryptowire」認為,除了用戶不見得會第一時間更新,有時候這些更新檔本身也可能會有 Bug,導致功能無法順利運作,或是需要花上數個月測試、錯失黃金時間。
目前,「Kryptowire」還需要花一段時間整理資料,此刻公佈的也只是初步結果。
Google 方面則回應,表示感謝 Kryptowire 的研究有助於完善 Android 生態系,但目前他們公佈的資料,都不致於影響到 Android 系統的核心,影響僅限於第三方 App 與 Android 版本。
Kryptowire 並表示對於這類風險,消費者其實沒有什麼能做的,因為相關風險都深埋在程式碼裡,只能等待廠商推送更新。《Wired》則建議,不要從 Google Play 以外的來源下載 App。
|