在美國國土安全部資助的一項研究中，Kryptowire 在廉價的 Android 智能機上，發(fā)現(xiàn)了由預(yù)裝應(yīng)用造成的嚴重安全風(fēng)險。這些 App 存在潛在的惡意活動，可能秘密錄制音頻、未經(jīng)用戶許可就變更設(shè)置、甚至授予自身新的權(quán)限 —— 這顯然與 Android 設(shè)備制造商和運營商的固件脫不了干系。

在新工具的幫助下，Kryptowire 得以在不需要接觸手機本體的情況下，掃描固件中存在的漏洞。最終在 29 家制造商的 Android 設(shè)備上，查找到了 146 個安全隱患。

在被問及為何特別針對廉價 Android 設(shè)備展開軟件安全調(diào)查時，Kryptowire 首席執(zhí)行官 Angelos Stavrou 在一封郵件中解釋稱：這與谷歌對產(chǎn)品的管理態(tài)度，有著直接的關(guān)系。

Google 可能要求對進入其 Android 生態(tài)系統(tǒng)的軟件產(chǎn)品進行更徹底的代碼分析，并擔負起供應(yīng)商應(yīng)有的責任。

當前政策制定者應(yīng)要求該公司將最終用戶的信息安全負起責任，而不是放任其置于危險之中。

對此，谷歌亦在一封郵件中稱：其感謝合作并以負責任的態(tài)度來解決和披露此類問題的研究工作。

正如 Kryptowire 研究中發(fā)現(xiàn)的那樣，預(yù)裝應(yīng)用通常為小型、無牌的第三方軟件，其被嵌入到了較大的品牌制造商的預(yù)裝功能中。

然而這類應(yīng)用很容易構(gòu)成重要的安全威脅，因為與其它類型的 App 相比，預(yù)裝應(yīng)用的權(quán)限要大得多、且很難被應(yīng)用刪除。

在 2017 年于拉斯維加斯舉辦的黑帽網(wǎng)絡(luò)安全大會上，Kryptowire 披露了上海 Adups Technology 生產(chǎn)的廉價手機中的類似安全威脅。

該手機的預(yù)裝軟件被發(fā)現(xiàn)會將用戶的設(shè)備數(shù)據(jù)發(fā)送到該公司在上海的服務(wù)器，而不會提醒這些用戶，后續(xù)其聲稱該問題已得到解決。

2018 年的時候，Kryptowire 發(fā)布了面向 25 款 Android 入門機型預(yù)裝固件缺陷的研究，同年谷歌推出了 Test Suite，以部分解決這方面的問題。

盡管 Kryptowire 曝光的事情每年都難以避免，不過 Stavrou 認為，谷歌的整體安全策略，還是有所改善的。

他表示：“保護軟件供應(yīng)鏈是一個非常復(fù)雜的問題，谷歌和安全研究界一直在努力解決該問題”。

在今年黑帽安全會議(Black Hat 2019)的演示期間，谷歌安全研究員 Maddie Stone 表示：

“Android 設(shè)備的常見預(yù)裝 App 有 100~400 款，從惡意行為者的角度來看，他只需說服一家企業(yè)來打包惡意 App，而無需說服成千上萬的用戶”。