预装应用程序的缺陷使数百万安卓设备暴露给黑客

几乎所有的安卓手机都带有制造商或运营商预装的无用应用程序，通常被称为bloatware，如果其中任何一款手机内置了后门，即使你很小心避免使用粗略的应用程序。

这正是移动安全公司Kryptowire的安全研究人员在周五的DEF CON安全会议上展示的。
研究人员披露了25款安卓手机固件和默认应用程序（预安装且大多不可移除）中47个不同漏洞的详细信息，这些漏洞可能让黑客监视用户并在工厂重置其设备，从而使数百万安卓设备面临黑客攻击的风险。

这些易受攻击的智能手机中，至少有11部由华硕、中兴、LG和Essential Phone等公司制造，并由Verizon和At&amp。

其他主要的安卓手机品牌包括维梧、索尼、诺基亚和Oppo，以及许多较小的制造商，如Sky、Leagoo、Plum、Orbic、MXQ、Doogee、Coolpad和阿尔卡特。

研究人员发现的一些漏洞甚至可以让黑客以系统用户的身份执行任意命令，清除设备上的所有用户数据，将用户锁定在设备之外，访问设备的麦克风和其他功能，访问他们的所有数据，包括他们的电子邮件和消息，阅读和修改短信，发送短信，还有更多，所有这些都是用户不知道的。

Kryptowire首席执行官Angelos Stavrou在一份声明中说：“所有这些都是预先设定的漏洞。当你把手机从盒子里拿出来时，它们就会出现”。“这很重要，因为消费者认为只有下载了不好的东西才会暴露”。

例如，华硕ZenFone V Live中的漏洞可能会导致整个系统被接管，从而使攻击者能够截屏、记录用户的屏幕、打电话、监听短信等。
Kryptowire的研究由美国国土安全部资助，他解释说，这些漏洞源于Android操作系统的开放性，允许设备制造商和运营商等第三方修改代码，创建完全不同的Android版本。

Kryptowire是同一家安全公司，2016年末，该公司在7亿多部安卓智能手机中发现了一个预装后门，该智能手机秘密发现每72小时向中国发送所有短信、通话记录、联系人列表、位置记录和应用数据。

Kryptowire负责地向谷歌和各自受影响的安卓合作伙伴报告了这些漏洞，其中一些合作伙伴已经修补了这些问题，而另一些合作伙伴正在努力迅速地用补丁解决这些问题。

然而，应该指出的是，由于Android操作系统本身不易受到任何公开问题的影响，谷歌对此无能为力，因为它无法控制制造商和运营商预装的第三款应用。