那些糟糕的预装Android应用可能充满安全漏洞

 
如果您曾经购买过Android手机，则很有可能会启动它，发现它确实预装了垃圾，而您肯定并没有要求。
这些预安装的应用程序可能很笨拙，令人讨厌删除，很少更新……而且事实证明，这些应用程序充满安全漏洞。
安全公司Kryptowire构建了一种工具，可以自动扫描大量Android设备以发现安全缺陷的迹象，并且在美国国土安全部资助的一项研究中，该工具在来自29个不同供应商的手机上运行了该工具。现在，这些供应商中的大多数是大多数人从未听说过的供应商，但一些华硕，三星和索尼等知名品牌出现了。
Kryptowire表示，他们发现了各种漏洞，从可以强迫安装其他应用程序的应用程序到可以诱骗录制音频的工具，甚至可以悄无声息地破坏您的系统设置的漏洞。有些漏洞只能由预安装的其他应用程序触发(因此，将攻击媒介限制在供应链中的攻击媒介中);同时，其他应用程序似乎可以由用户可能会安装的任何应用程序触发。
Kryptowire此处提供了已观察到的漏洞的完整列表，按类型和制造商细分。该公司表示，总共发现了146个漏洞。
正如Wired指出的那样，Google非常了解这种潜在的攻击途径。在2018年，它启动了一个名为Build Test Suite(或BTS)的程序，所有合作伙伴OEM都必须通过该程序。 BTS会对设备的固件进行扫描，以发现隐藏在其预装应用程序中的所有已知安全问题，并将这些不良应用程序标记为潜在有害应用程序(或PHA)。正如Google在其2018年Android安全报告中所说的那样：
OEM将其新的或更新的构建映像提交给BTS。然后，BTS运行一系列测试，以查找系统映像上的安全性问题。这些安全测试之一将扫描系统映像中包含的预安装的PHA。如果在构建中找到PHA，我们将与OEM合作伙伴一起修复并从构建中删除PHA，然后再将其提供给用户。
在其第一个日历年中，BTS阻止了242个带有PHA的建筑进入生态系统。
每当BTS检测到问题时，我们都会与我们的OEM合作伙伴一起修复和了解如何将应用程序包含在构建中。这种团队合作使我们能够识别和减轻对生态系统的系统性威胁。
las，一个自动化的系统无法捕获所有内容，而且当问题确实发生时，也无法确定补丁或修复程序是否会到来(尤其是在长期支持往往受到限制的低端设备上)。
我们已与Google联络，以对该报告发表评论，但尚未收到回复。