研究人员分析了 1,700 多款 Android 智能手机的软件覆盖层。结果:这是一个真正的狂野西部,它允许或多或少可疑的发行商将自己从 Android 和 Google 的保护中解放出来。
仅仅因为您只购买顶级品牌 Android 智能手机并从 Google Play 下载应用程序,并不意味着您就完全安全。因为在Android生态系统中,存在一个巨大的盲点:固件级别预加载的应用程序的盲点。事实上,每个制造商都可以创建自己的 Android 版本,包括各种软件,这些软件通常被归为“覆盖”一词。
问题是没有人真正知道谁在这个覆盖层中做了什么。这些应用程序未经 Google 验证,因为它们是预安装的并且不通过 Google Play。就制造商而言,他们没有提供太多信息。首次激活 Android 智能手机的用户并不知道它实际上包含什么。
一组研究人员刚刚分析了 82,501 个预装应用程序,这些应用程序是从 214 个供应商的 1742 个终端的固件中恢复的。结果:这是一个真正的“狂野西部”,全方位开放,安全漏洞从未修补,个人数据悄然传输。研究人员甚至在这些固件中发现了臭名昭著的恶意软件,这令人遗憾。研究将于 5 月在 IEEE 安全和隐私研讨会上提出,内容相当广泛且复杂。以下是亮点。
充满第三方库的应用程序
研究表明,大约三分之一的预装应用程序包含可能收集数据的第三方库。这些库允许开发人员插入广告、检索使用数据(“移动分析”)并添加社交网络功能(“社交网络”)。
有些库是众所周知的,例如研究人员在 806 应用程序中发现的 Facebook Graph Android SDK。但还有很多其他的则不然,比如 Umeng、Fyber、Heyzap、Smaato 等。
非常宽松的固件
固件中预装应用程序的优点是供应商可以授予它们对操作系统不同功能的定制访问权限。用移动应用程序开发人员的行话来说,这称为“自定义权限”。例如,它们允许访问系统功能、电话、地址簿、消息等。研究人员表示,这些特殊访问权限可能源于潜在的商业协议。
研究人员对从 108 个供应商检索到的 1795 个软件包中的 4845 个特殊访问进行了编目和分析。在三分之二的情况下,这些访问涉及制造商的软件。其余的,我们找到了运营商或芯片设计者、防病毒软件、浏览器等。研究人员特别发现了 Facebook 签名的 6 个软件包,每个软件包都受益于 2 到 8 个特殊访问权限。有些供应商比其他供应商更宽松,例如三星、华为、HTC 或索尼,如下图所示。
个人数据成为焦点
对预装应用程序的分析表明,他们对大量标识符感兴趣。通过分析 3,154 个软件包的子集,研究人员列出了 36 种潜在侵入性集合。如下图所示,预装应用特别喜欢手机 ID。他们还喜欢检查已安装的应用程序列表、日志和网络连接信息。该信息特别适合用于印象或“指纹识别»,这项技术已在整个 IT 行业中广泛应用。“这些结果给人的印象是,个人数据的收集和传播(无论预期目的或获得的同意如何)不仅无处不在,而且是预先安装的”,研究人员强调。
狡猾的嵌入式恶意软件
对 158 个应用程序的手动分析使研究人员能够检测到恶意或危险软件的存在,例如 Rootnik(它获得终端管理员访问权限以安装其他应用程序)或 GMobi(它会窃取大量个人数据,还允许您安装应用程序。在可疑应用程序列表中,我们还发现广告公司,一款本应使更新固件更容易的应用程序,结果却成为数十种智能手机型号的危险后门。
