许多Android漏洞可以追溯到制造商修改

最近的一项研究显示，计算机安全研究人员发现，Android智能手机制造商在销售前对手机进行定制时，无意中在产品中加入了新的漏洞。平均而言，研究人员发现，在他们评估的智能手机型号中发现的漏洞有60%是由这种“供应商定制”造成的。

一个描述该研究的论文将于11月6日在德国柏林举行的计算机与通信安全ACM会议上发表。

尽管谷歌创建了所有Android智能手机使用的基本Android平台，但三星、索尼和HTC等供应商都定制了该平台来集成他们的硬件。这些供应商还合并了他们或他们的合作伙伴开发的应用程序。

由北卡州计算机安全研究员领导的团队Xuxian江试图确定这些自定义是否构成安全威胁。江是描述这项研究的一篇论文的资深作者。

研究人员研究了10款具有代表性的安卓智能手机。他们研究了三星(Samsung)、HTC、LG、索尼(Sony)和谷歌这五家制造商各自生产的一个旧型号(版本2.x)和一个新型号(版本4.x)。在这10款手机中，厂商定制的应用占预装应用的平均80%。

“仅仅基于预装的应用程序，这10款设备都很容易受到攻击，”姜建平说。“旧版本平均每个设备有22.4个漏洞，而新版本平均每个设备有18.4个漏洞。而且新版本并不总是更安全。一些最近的型号实际上比它们的前辈更不安全。”在被评估的10款机型中，他们研究的最新谷歌设备Nexus 4的漏洞最少。

江的团队发现了一些漏洞，包括未经用户许可录制音频，未经用户许可拨打电话，以及删除用户数据。

“我们还发现，85%的预装应用程序都被过度使用了，”蒋说。如果一个应用程序要求用户给予它实际上并没有使用的权限，那么它就被认为是“过度特权”。“看到如此多的过度特权应用，表明开发供应商应用的程序员违反了一个众所周知的安全原则，即‘最小特权原则’。”

吴磊，北卡罗来纳州立大学的博士生，是这篇论文的第一作者。厂商自定义对Android安全的影响合著者是北卡罗来纳州立大学的博士生Michael Grace, Yajin Zhou和Chiachih Wu。