【DEF CON 2018】25款Android手機的韌體或預載程式含有安全漏洞

行動資安業者Kryptowire在上周於拉斯維加斯（Las Vegas）展開的DEFCON駭客大會上揭露，有25款Android手機在出廠時的韌體或預設程式就含有安全漏洞，在這些裝置上總計找到大大小小的35個漏洞，有些輕微的漏洞只會造成裝置當掉，嚴重的漏洞則會讓駭客取得裝置的最高權限。

當初Kryptowire主要鎖定由6家美國電信營運商負責銷售的高、低階Android手機進行分析，以探索這些手機在出售給消費者時所預載的程式或韌體的安全性，但事實上該研究結果影響了全球的裝置，這些漏洞全都超出了Android平台既有的許可，包括執行任意程式、取得數據機與程序（logcat）日誌、移除裝置上的使用者資料、讀取或變更裝置用戶簡訊、傳送任意簡訊，或是取得裝置通訊錄等。

Kryptowire表示，現身於韌體或預載程式上的漏洞意謂著消費者在安裝其它程式或進行無線通訊之前就已曝露在安全風險中，更嚴重的是，針對韌體的攻擊程式得以繞過Android上的各種防禦機制，不論是行動威脅偵測、防毒軟體或其它技術，因為這些安全程式無法偵測應用程式層背後的漏洞，因而無法抵抗韌體攻擊。

例如中興的ZMAX Pro允許駭客取得裝置用戶的所有簡訊，甚至是插入、變更或刪除簡訊，而ZMAX Champ所預載的某個程式允許裝置上任一程式透過回復出廠設置移除裝置上的所有資料；Vivo的V7所預載的程式則能在未取得使用者授權之下擅自記錄螢幕畫面；Oppo的F5可悄悄錄音並存至SD卡，還能執行命令；LG的G6能夠鎖住用戶、取得logcat與核心紀錄；Asus的ZenFone 3 Max內建的程式則能獲得各種錯誤報告、裝置資訊或Wi-Fi密碼，還能拍下螢幕畫面或執行命令。

Kryptowire向Wired解釋，這主要因為供應鏈中的成員想要進行客製化、添增自己的程式或程式碼，卻同時擴大了攻擊表面，並提高軟體出錯的可能性。

此一研究是由美國國土安全部（DHS）所支持，Kryptowire已於官網列出了所有手機型號與相關漏洞。