在上周，于拉斯维加斯举行的DEF CON黑客大会上，安全研究人员详细介绍了在25款Android智能手机的固件和默认应用程序中发现的47个漏洞，其中有11款在美国销售。

完整的漏洞列表已经被添加到了本文的末尾，涵盖从能够导致设备崩溃的简单漏洞到允许攻击者获取用户设备root访问权限的高危漏洞。

其中，被认为危险系数最高的一些漏洞允许攻击者从用户的手机中窃取短信或通过用户的手机发送短信、进行屏幕截图或录制手机屏幕、检索用户的联系人列表、在无需用户同意的情况下强制安装任意的第三方应用程序，甚至是彻底擦除用户手机中的数据。

中兴、vivo、OPPO等国内品牌上榜

这些漏洞大多数是在一些应用程序中发现的，而这些应用程序手机出厂时就已经被默认安装，很多甚至是不可卸载的。另外，一些漏洞也存在于手机固件中，如果想要通过卸载的方式来免受漏洞的影响，那么必然会丢失某些手机功能。

所有这些漏洞都是由美国移动和物联网安全公司Kryptowire发现的。在Kryptowire名单上的智能手机品牌（OEM）包括中兴、索尼、诺基亚、LG、华硕和阿尔卡特（Alcatel）等大型公司，以及一些小型公司，如vivo、SKY、Plum、Orbic、OPPO、MXQ、Leagoo、Essential、Doogee和Coolpad。

Kryptowire的首席执行官Angelos Stavrou在一份新闻稿中表示，由于存在漏洞的手机品牌和型号众多，可能涉及到数以百万计的手机以及数千种固件版本，因此想要通过人工手动测试和评估的方式来完成对所有手机预装应用程序和固件漏洞的识别，几乎是不可能的。借此，该公司也宣布推出一款针对企业的新平台，用于自动测试Android移动设备的固件和应用程序。

名单上的一些“老熟人”

此次出现在名单上的一些OEM品牌，可以说是我们的“老熟人”，如中兴。另外，Leagoo和Doogee也曾在之前发布的关于不安全的Android设备制造商的报道中被列出。值得注意的是，这两家Android设备制造商生产的智能手机还曾被报道在预装的应用程序中发现了银行木马。

早在2016年11月，Kryptowire曾在报告中指出，由我国上海Adups Technology公司生产的空中固件（FOTA）更新软件系统被发现存在后门。FOTA系统被许多Android设备制造商应用于其产品固件中，就比如之前报道中提到的美国智能手机制造商BLU。尽管已经被公开报道，但在一年以后，新的调查显示该系统仍在被使用。

下面是Kryptowire公司通过上周的DEF CON大会展示的所有漏洞：

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。