由于验证审核不够充分因此部分安卓设备可能内置恶意软件或后门程序,数百万台设备因为这种方式被感染。
网络犯罪分子正在利用供应链投毒的方式将其恶意代码放在预装阶段,这种方式动辄即可感染百万台的设备。
尽管谷歌也会对部分厂商制作的系统镜像进行审核,但依然无法完全阻止厂商在审核后对预装软件进行修改。
谷歌安全实验室研究人员:
绝大多数制造商都是在安卓开源项目的基础上构建预装系统的,这是使用开源的安卓操作系统的低成本方式。
制造商通常只需要测试生产的设备能够和构建的镜像兼容即可,这意味着设备符合安卓系统兼容性定义文档。
网络犯罪分子只要说服厂商使用他们的恶意组件,即可借助制造商的力量将恶意软件分发给成千上万的用户。
而多数安全防护功能都是谷歌利用谷歌商店防护程序完成的,该防护程序专门由于检测和自动禁用恶意软件。
感染740万台设备的僵尸网络:
代号岩羚羊的恶意软件高峰时感染高达740万台安卓设备 , 这个恶意软件主要涉及高级短信欺诈的点击欺诈。
所谓高级短信诈骗即自动发送订阅短信进行恶意扣费,或者监听用户短信窃取验证码用来完成账户金额盗取。
点击欺诈则是自动在后台运行点击广告获取广告分成,这种虽然对用户无害但可能会持续消耗流量和电量等。
岩羚羊的开发公司在去年曾影响250 多家安卓设备制造商, 最高峰时岩羚羊恶意软件感染740万台安卓设备。
冒充广告组件诱导厂商参与获取分成:
能够被大量安卓设备制造商预装的原因是岩羚羊开发公司将其包装为广告组件用来在设备里显示各种广告等。
当然其开发公司也会给安卓设备制造商提供分成,因此许多廉价设备制造商通过这种方式继续从用户那赚钱。
然而由于审核问题这些制造商并不清楚这个广告组件存在恶意行为,直到被卡巴斯基监测到岩羚羊存在异常。
岩羚羊通过预装的广告组件进行加载并同时安装名为雪狐的木马程序,到这里用户手里的设备已被完全接管。
在被监测到异常后谷歌安全团队利用谷歌商店的防护程序自动将木马禁用并通知相关制造商发布新版本镜像。
还有厂商直接预装后门程序:
与岩羚羊通过预装方式相比还有种方式可能也是非常典型的例子,那就是制造商预装某些远程诊断应用程序。
严格来说这些诊断程序并不能算是后门程序因为厂商并不是故意的,但其功能却和后门程序没有太大的区别。
例如某厂商在开发版本上预装某个调试用的诊断程序,这个诊断程序可用来远程执行任意代码包括恶意代码。
这个制造商将具有相同安全问题的新设备提交给谷歌认证时,谷歌发现其固件存在安全漏洞因此拒绝批准等。
在接下来的两周里该制造商向受影响的600万台设备推送更新 , 到第四周的时候所有设备均已更新修复漏洞。
领取专属 10元无门槛券
私享最新 技术干货