据德国之声报导, 美国网络安全公司Krytowire 公司的网络安全专家Angelos Starvrous 和Ryan Johnson 今年2月份在波恩召开的西罗塞克IT防御大会(Cironsec IT-Defense Conference)上表示,由于谷歌公司于2005年购买安卓系统之后,就在AOSP上开放了安卓密码, 因此任何一位软件开发商都可以自由地从AOSP市场上选取不同功能的应有程序来设计自己的软件系统, 然后制造商和供应商再从这些应有程序中选择自己手机中欲安装的应用程序。
因此AOSP上的漏洞就会被移植入用户手机的核心软件之中, 这种被供应商事先安装的应用程式往往被嵌在相关手机的根级别上,这意味着用户完全无法改变、禁止或删除这些软件组件, 而这些根级别的软件组件还有一个特权, 他们可以自动安装更新软件,而很多恶意软件就可以利用这一漏洞进入用户的手机上。
Stavrous 举例说, 他们曾经发现两款名为Lovelyfonts 和Lovely High Fonts 的用于更改字体的应有软件,他说这两款应有软件对于外行来说非常不显眼,而且从启动器完全无法访问到这两款应有程序,这意味着很多手机用户也完全无法意识到这些应有程序的存在, 但是这两款程序却能够联合对用户的手机发起袭击,并骇客打开用户手机的后门,帮助骇客将用户手机上的加密数据传送到位于上海的某个远程服务器上。
他介绍说, “仅仅是2019年11月,我们就从26个不同的供应商生产的手机上发现了146种常见漏洞,” 他认为这不是能够一下子就解决的问题。他们随后又发现了大量的这种漏洞。
他介绍说,他们发现的有些漏洞允许骇客远程进入用户手机,激活手机键盘的记录程序,在用户手机中进行屏幕截图或简单地记录手机用户所看到的、所说的和所听到的,包括手机主人所输入的、删除的和更改过的手机密码。
他说:“这些应用程序在后台运作,运作过程中没有任何迹象, 而且会在主人不知道的情况下收集所有的信息。 ”
Ryan Johnson则表示,对于那些在汽车上安装了安卓系统的电视或汽车娱乐系统的汽车而言,这个问题就更严重。
他说:“因为一旦这些汽车上的娱乐系统开始运行,骇客可能会通过这些漏洞进入汽车的控制区域网络(CAN bus)并控制汽车的方向盘、刹车,这将造成可怕后果。 ”
报导表示,虽然Kryptowire 公司已经开发出了一种软件来自动检测这种漏洞, 但是仅仅检测漏洞对于普通手机用户而言也没有太大用处,因为普通手机用户可能并不会自己修复这些漏洞。 然而随着越来越多的手机软件配件投入市场,这种漏洞可能会更多,而非更少。
