[星岛综合报道] 瑞士洛桑联邦理工学院(EPFL)的研究人员发现了Android系统中的31个关键安全漏洞,这些漏洞可能被黑客利用来窃取用户的敏感资料,包括指纹、脸部数据以及储存在手机上的信用卡和社会安全信息等。
研究显示,这些漏洞分布在Android系统的三层架构中:第一层是负责切换到安全世界和从安全世界切换出来的“安全监视层”,第二层分为处理加密资料的“安全世界”和基于Linux核心的“正常世界”,第三层则包含所有应用程式。研究人员通过开发名为EL3XIR的工具,使用模糊测试技术(fuzzing)来检测这些漏洞,并成功揭示了34个程式错误,其中17个被认定为“安全临界”,即最严重的风险等级。
除了这些技术性发现,研究还发现了Android系统与“可信应用程式”(TA)之间存在的沟通混乱问题。这种混乱发生在当可信应用程式的资讯在不同层之间传递时被错误标示,这种情况特别容易出现在日常应用程式与可信应用程式之间的互动中。
研究团队分析了15,000个可信应用程式,发现了14个新的重大安全漏洞,揭露了10个已被厂商修补但未通知使用者的漏洞,并确认了9个已知的漏洞。此外,他们还发现,如果厂商未能及时更新安全补救,黑客可以强行将受信任的应用程式降级到以前的脆弱版本,进而取得敏感资料,威胁到整个Android生态系统。
EPFL的研究人员已经将这些发现披露给相关厂商,并给予他们90天的时间来开发修补程式,以确保这些漏洞在公布前得到修复。他们强调,消费者应随时保持系统和应用程式更新,仅从可信的应用程式商店下载软体,并选择那些提供长期更新支援的装置制造商。
此外,研究团队还指出,iPhone等封闭系统也可能存在类似的安全漏洞,但由于这些系统的封闭性,相关的公开研究较少。这些发现和开发的工具将有助于增强未来系统的安全性,降低黑客入侵的风险。
图片:EPFL/istock
T10
