[星島綜合報道] 瑞士洛桑聯邦理工學院(EPFL)的研究人員發現了Android系統中的31個關鍵安全漏洞,這些漏洞可能被黑客利用來竊取用戶的敏感資料,包括指紋、臉部數據以及儲存在手機上的信用卡和社會安全信息等。
研究顯示,這些漏洞分佈在Android系統的三層架構中:第一層是負責切換到安全世界和從安全世界切換出來的「安全監視層」,第二層分為處理加密資料的「安全世界」和基於Linux核心的「正常世界」,第三層則包含所有應用程式。研究人員通過開發名為EL3XIR的工具,使用模糊測試技術(fuzzing)來檢測這些漏洞,並成功揭示了34個程式錯誤,其中17個被認定為「安全臨界」,即最嚴重的風險等級。
除了這些技術性發現,研究還發現了Android系統與「可信應用程式」(TA)之間存在的溝通混亂問題。這種混亂髮生在當可信應用程式的資訊在不同層之間傳遞時被錯誤標示,這種情況特別容易出現在日常應用程式與可信應用程式之間的互動中。
研究團隊分析了15,000個可信應用程式,發現了14個新的重大安全漏洞,揭露了10個已被廠商修補但未通知使用者的漏洞,並確認了9個已知的漏洞。此外,他們還發現,如果廠商未能及時更新安全補救,黑客可以強行將受信任的應用程式降級到以前的脆弱版本,進而取得敏感資料,威脅到整個Android生態系統。
EPFL的研究人員已經將這些發現披露給相關廠商,並給予他們90天的時間來開發修補程式,以確保這些漏洞在公布前得到修復。他們強調,消費者應隨時保持系統和應用程式更新,僅從可信的應用程式商店下載軟體,並選擇那些提供長期更新支援的裝置製造商。
此外,研究團隊還指出,iPhone等封閉系統也可能存在類似的安全漏洞,但由於這些系統的封閉性,相關的公開研究較少。這些發現和開發的工具將有助於增強未來系統的安全性,降低黑客入侵的風險。
圖片:EPFL/istock
T10
