資安研究機構 Kaspersky 在多款 Android 平板電腦的韌體中,發現了名為「Keenadu」的後門程式,意味著這些設備在離開工廠、交到消費者手上之前,就已經被植入了惡意代碼,屬於極為嚴重的供應鏈安全漏洞,讓用戶在不知不覺中門戶大開!
深植系統底層的運作模式
這個名為 Keenadu 的後門程式擁有極高的系統權限,它會在設備啟動時直接注入 Android 系統的核心進程「Zygote」,而這負責的是啟動設備應用程式,這使得幕後黑手能夠獲取極其廣泛的系統控制與查看權限;一旦潛伏成功,該程式便能在背景下載額外的惡意模組,不僅會擅自將使用者的瀏覽器搜尋重新導向,還能透過追蹤應用程式的安裝狀況以牟取暴利,甚至干預廣告元件的運作,其影響力與破壞力遠超一般安裝層級的惡意軟體。
主要受害品牌與波及範圍
這波資安風暴主要集中在部分知名度較低的平價平板品牌,其中一個被證實的具體案例是酷比魔方 Alldocube iPlay 50 mini Pro 平板;研究人員發現,即便廠商已經知悉相關的惡意軟體通報,其釋出的後續韌體檔案中依然帶有這個後門程式,且這些檔案皆具備有效的數位簽章,顯示惡意代碼很可能是在軟體開發或系統構建的過程中就被駭客植入。
目前全球已有超過一萬三千名用戶受到 Keenadu 及其相關模組的影響,受害者遍布俄羅斯、日本、德國與荷蘭等地,該威脅更被發現與 Triada 等其他知名的惡意殭屍網絡家族有密切關聯。
Google 官方回應與防範建議
針對這起的資安事件,Google 表示內建 Google Play 服務的設備在預設情況下會開啟 Google Play Protect 功能,該機制能自動保護用戶免受已知版本的 Keenadu 惡意軟體侵害,並會主動警告且停用出現異常行為的應用程式。
雖然主流知名品牌的 Android 平板目前看似未受波及,但建議消費者在選購平價或不知名品牌的設備時應保持警覺,平時務必確認設備是否具備 Google Play Protect 認證,並在廠商釋出乾淨的系統修復版本時,第一時間完成韌體更新以確保個人資訊安全。
