在美國(guó)國(guó)土安全部資助的一項(xiàng)研究中，Kryptowire在廉價(jià)Android智能手機(jī)上發(fā)現(xiàn)了預(yù)裝應(yīng)用程序造成的嚴(yán)重安全風(fēng)險(xiǎn)。這些應(yīng)用程序可能是惡意的，可以秘密錄制音頻、未經(jīng)用戶(hù)許可更改設(shè)置，甚至授予新權(quán)限，這顯然與Android設(shè)備制造商和運(yùn)營(yíng)商的固件密不可分。

在新工具的幫助下，Kryptowire 得以在不需要接觸 手機(jī) 本體的情況下，掃描固件中存在的漏洞。最終在 29 家制造商的 Android 設(shè)備上，查找到了 146 個(gè)安全隱患。

在被問(wèn)及為何特別針對(duì)廉價(jià) Android 設(shè)備展開(kāi)軟件安全調(diào)查時(shí)，Kryptowire 首席執(zhí)行官 Angelos Stavrou 在一封郵件中解釋稱(chēng)：這與谷歌對(duì)產(chǎn)品的管理態(tài)度，有著直接的關(guān)系。

Google 可能要求對(duì)進(jìn)入其 Android 生態(tài)系統(tǒng)的軟件產(chǎn)品進(jìn)行更徹底的代碼分析，并擔(dān)負(fù)起供應(yīng)商應(yīng)有的責(zé)任。當(dāng)前政策制定者應(yīng)要求該公司將最終用戶(hù)的信息安全負(fù)起責(zé)任，而不是放任其置于危險(xiǎn)之中。

對(duì)此，谷歌亦在一封郵件中稱(chēng)：其感謝合作并以負(fù)責(zé)任的態(tài)度來(lái)解決和披露此類(lèi)問(wèn)題的研究工作。

正如 Kryptowire 研究中發(fā)現(xiàn)的那樣，預(yù)裝應(yīng)用通常為小型、無(wú)牌的第三方軟件，其被嵌入到了較大的品牌制造商的預(yù)裝功能中。

然而這類(lèi)應(yīng)用很容易構(gòu)成重要的安全威脅，因?yàn)榕c其它類(lèi)型的 App 相比，預(yù)裝應(yīng)用的權(quán)限要大得多、且很難被應(yīng)用刪除。

在 2017 年于拉斯維加斯舉辦的黑帽網(wǎng)絡(luò)安全大會(huì)上，Kryptowire 披露了上海 Adups Technology 生產(chǎn)的廉價(jià)手機(jī)中的類(lèi)似安全威脅。該手機(jī)的預(yù)裝軟件被發(fā)現(xiàn)會(huì)將用戶(hù)的設(shè)備數(shù)據(jù)發(fā)送到該公司在上海的服務(wù)器，而不會(huì)提醒這些用戶(hù)，后續(xù)其聲稱(chēng)該問(wèn)題已得到解決。

2018 年的時(shí)候，Kryptowire 發(fā)布了面向 25 款 Android 入門(mén)機(jī)型預(yù)裝固件缺陷的研究，同年谷歌推出了 Test Suite，以部分解決這方面的問(wèn)題。

盡管 Kryptowire 曝光的事情每年都難以避免，不過(guò) Stavrou 認(rèn)為，谷歌的整體安全策略，還是有所改善的。

他表示：“保護(hù)軟件供應(yīng)鏈?zhǔn)且粋€(gè)非常復(fù)雜的問(wèn)題，谷歌和安全研究界一直在努力解決該問(wèn)題”。

今年，在黑帽安全大會(huì)(Black Hat 2019)上，谷歌安全研究員Maddie Stone表示：

“有100到400個(gè)預(yù)裝的Android設(shè)備應(yīng)用程序，在黑客看來(lái)，他只需迫使一家公司捆綁惡意應(yīng)用程序而不必說(shuō)服成千上萬(wàn)的用戶(hù)。”