近年来,智能手机的安全性问题日益受到关注。尤其是预装应用中存在的安全漏洞,可能为用户带来巨大风险。近期,针对Ulefone和Krüger&Matz两款手机品牌的预装Android应用程序中发现数个严重漏洞,引起了业界的高度警惕。研究人员指出,这些漏洞赋予安装在设备上的任意应用强制执行设备初始化重置及窃取用户PIN码的能力,导致用户隐私和数据安全面临严峻危机。Ulefone和Krüger&Matz作为知名中低端智能手机品牌,在全球市场拥有一定数量的用户群体。它们预装的系统级应用被发现存在多个漏洞,编号分别为CVE-2024-13915、CVE-2024-13916和CVE-2024-13917,且每个漏洞的风险评分均在6.9至8.3之间,属中高危范围。
首先,CVE-2024-13915漏洞涉及一个名为“com.pri.factorytest”的预装应用。该应用暴露了“com.pri.factorytest.emmc.FactoryResetService”服务,任何安装在手机上的应用均可调用此服务,强制设备执行恢复出厂设置操作。此行为意味着恶意应用能够轻易格式化用户手机,删除所有数据,严重影响用户体验及数据完整性。其次,针对Krüger&Matz手机的CVE-2024-13916漏洞,研究人员发现预装的“com.pri.applock”应用提供了应用加密功能,允许用户通过PIN码或生物识别技术锁定应用。然而,此应用暴露了一个内容提供器“com.android.providers.settings.fingerprint.PriFpShareProvider”的“query()”方法。恶意应用一旦安装,可利用此接口窃取用户输入的PIN码,实现精准抓取用户解锁凭证。
这为攻击者打开了重重防线,进一步侵入用户私人数据带来契机。再者,CVE-2024-13917漏洞涉及同一“com.pri.applock”应用的“com.pri.applock.LockUI”活动。该活动被设计为保护锁定界面,但却允许未获得系统权限的第三方恶意应用注入意图(Intent),并借此执行系统级别的操作。尽管利用此漏洞须知晓用户保护的PIN码,但该漏洞可以与前述CVE-2024-13916漏洞相结合,实现先窃取PIN码后调取高级权限的连环攻击。安全研究机构CERT Polska公布了这些漏洞,并由安全专家Szymon Chadam负责漏洞的负责任披露。虽然信息披露较为充分,但目前Ulefone与Krüger&Matz官方尚未明确漏洞修补状态,仍存在潜在的安全风险。
对广大用户来说,理解这些问题的危害尤为关键。智能手机中的预装应用通常具有较高的系统权限,它们无形中成为攻击者瞄准的重点。一旦恶意软件利用预装应用漏洞,用户的数据安全保障将荡然无存,不仅导致财产损失,还可能使个人隐私大范围泄露。技术角度来看,预装应用暴露敏感服务、内容提供者和活动接口,主要源于权限授予与安全设计不足。开发厂商应加强代码审计,确保敏感接口不被任意调用,同时加固身份验证机制,避免未经授权的访问和操作。对于普通用户,尽管漏洞修复依赖厂商推送更新,但主动安全防护同样重要。
用户应定期检查系统更新,保持手机及应用在最新安全版本,避免下载安装来历不明的第三方应用,尤其是在涉及高权限操作的情况下必须格外谨慎。同时,合理设置PIN码或密码复杂度,加强设备生物识别认证安全性,能有效提升安全防御。此外,专家建议智能手机厂商重新审视和优化预装软件策略,减少无谓的系统应用数量,严格限制敏感功能调用权限,以降低攻击面。配合安全团队定期开展漏洞扫描和渗透测试,提高应对未知威胁能力。现代移动安全生态面临的挑战愈加多样化,设备安全不仅仅是硬件和操作系统层面的问题,预装软件的安全性同样不容忽视。尤其是在智能终端广泛普及的背景下,保障用户数据隐私和防范恶意入侵成为行业共同责任。
总结而言,Ulefone及Krüger&Matz预装应用中存在的多重严重漏洞,暴露出当前部分手机厂商在软件安全方面的明显不足。这些漏洞为恶意攻击者提供了轻松重置设备和窃取PIN码的渠道,极大威胁用户信息安全和设备正常使用。用户应提高警觉,及时更新软件并谨慎安装应用。厂商则需积极采取安全加固措施,加强漏洞响应和修复机制。在移动安全日益重要的今天,只有多方协同努力,才能为全球千万智能手机用户筑牢坚实的安全防线。
