請更新您的瀏覽器

您使用的瀏覽器版本較舊,已不再受支援。建議您更新瀏覽器版本,以獲得最佳使用體驗。

科技

美國土安全部稱 Android 手機有風險!多家大廠恐中招

自由電子報

更新於 2018年08月14日05:06 • 發布於 2018年08月14日04:42 • 文/記者黃敬淳
(圖/翻攝自 Pixabay)
(圖/翻攝自 Pixabay)

據外媒《Wired》消息,一項美國國土安全部注資、資安公司「Kryptowire」主導的資安研究計畫指出,全球可能有數百萬台 Android 裝置,從一出廠就已經面臨資安風險,根本原因則來自於 Android 手機的開放生態。

儘管「Kryptowire」稱,大多數他們發現的攻擊,還是要用戶真的安裝了藏有惡意程式碼的 App,才會觸發 Android 系統的潛在風險,但已知的多數攻擊套路,則是能在不知會用戶、也不需要用戶同意的情況下,就悄悄取得系統權限,從而能完全取用用戶的個資,如訊息、電話、登錄密碼,甚至能直接側錄螢幕畫面,或啟用麥克風錄音。

「Kryptowire」的研究負責人也指出,出於產品需要,Android 系統允許各家廠商重新調整程序碼,如製作子版本或推出自己的 App,但更多的第三方修改除了增加駭客可攻擊的點,也提高了 Google 或各廠商推送安全補丁的成本。「Kryptowire」並點名 ASUS 華碩、LG、Essential、中興 4 家廠商可能有資安風險。

報導中以 ZenFone Live 為例,整個系統的權限有被接管的風險,導致螢幕被側錄、自動撥打電話等等;LG G6 則有曝露 Logcat 指令,讓駭客能一窺各種個資,如 GSP 位址,或是讓用戶無法登入裝置的風險。儘管廠商們皆回應,表示已知的新漏洞都會在第一時間就推送更新,但「Kryptowire」認為,除了用戶不見得會第一時間更新,有時候這些更新檔本身也可能會有 Bug,導致功能無法順利運作,或是需要花上數個月測試、錯失黃金時間。目前,「Kryptowire」還需要花一段時間整理資料,此刻公佈的也只是初步結果。

Google 方面則回應,表示感謝 Kryptowire 的研究有助於完善 Android 生態系,但目前他們公佈的資料,都不致於影響到 Android 系統的核心,影響僅限於第三方 App 與 Android 版本。

Kryptowire 並表示對於這類風險,消費者其實沒有什麼能做的,因為相關風險都深埋在程式碼裡,只能等待廠商推送更新。《Wired》則建議,不要從 Google Play 以外的來源下載 App。

《你可能還想看》

三星 Note 9 首波外媒評價:除了S Pen,其他的有變嗎?

點開加入自由電子報LINE官方帳號,新聞脈動隨時掌握!

0 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0