根据Kryptowire的说法,购买新的Android设备不能保证安全可靠的使用体验。该公司最近发布了一份报告,该报告显示了在多个品牌中发现的146个安全漏洞。这些被Kryptowire称为“常见漏洞和披露(CVE)”,这是被发现为漏洞的通用分类术语。
这些安全威胁中的绝大多数都出现在预算相对有限的品牌中。但是,Kryptowire的研究人员还发现了三星和华硕等品牌出售的智能手机中的漏洞数量惊人。
为了清楚起见,在检查的所有29个智能手机品牌或供应商中都不存在每个漏洞。但是,全新的三星和华硕设备上存在的漏洞比其他漏洞更多。这些设备也是直接包含问题的设备。这意味着用户正在购买智能手机以及一些内置漏洞的最受欢迎的品牌。这些数字也仅涉及2019年的发现和相关设备。
有哪些安全漏洞以及发现了哪些新设备?
目前,研究人员尚未提供有关漏洞严重程度的额外详细信息。完整列表很广泛,涵盖了到目前为止的2019年全年。但是,该小组将这些活动分为几类,尤其是四个类别。最大的类别是漏洞,该漏洞将允许由41个CVE组成的“系统属性修改”,占发现的CVE的28.1%。
紧随其后的是34个CVE,它们可以进行“应用程序安装”,占发现的问题的23.3%。之后,“命令执行” CVE在该类别的146个中占30个,占20.5%。最后,在总共26个CVE中,发现的漏洞中有17.8%被标记为允许“修改无线设置”。
Kryptowire指出了漏洞之间的两个另外的区别。综上所述,“本地”应用可以利用某些漏洞,而“系统”或“签名”应用则可以利用其他漏洞。除了某些例外,Kryptowire通常将品牌分成各个品牌。
只有五个品牌升至以上,表明总共发现了10个CVE。最大的两家,三星和华硕,主要是通过系统或签名应用程序进行利用的。实际上,对于三星而言,所有33个CVE都属于该类别。对于ASUS,在26个CVE中有20个被类似地分类。
小米手机共遭受了15个漏洞中的三个漏洞,这些漏洞与签名应用程序或系统级应用程序相关。对于Lava和Tecno,分别有14个和13个漏洞可以被“本地应用程序”利用。
其余大部分手机由知名度较低的品牌组成,这些品牌主要来自中国制造商,并且在“本地应用程序”方面受到损害。
Android似乎不那么脆弱
在大多数情况下,这些漏洞似乎并不会影响运行有库存或接近库存的Android的设备。相反,该问题似乎是运行售后软件的设备所特有的,尤其是那些在交付给消费者之前已安装了第三方软件的设备。由于库存设备倾向于更快地接收更新,因此与运行外观或覆盖的设备相比,该问题也更容易缓解。
据推测,Kryptowire发现制造商正在交付有问题的设备,此后,针对这些漏洞的报告对其进行了修补。但是,该公司尚未确切概述这些公司的反应。