盡管 Google 為所有 Android 手機(jī)推薦了一套應(yīng)用程序，但長(zhǎng)期以來(lái)，一些制造商仍?xún)A向于提供自己的核心應(yīng)用程序和自定義體驗(yàn)。長(zhǎng)期以來(lái)，三星一直是造成這種不同體驗(yàn)的最大罪魁禍?zhǔn)字?，但它最近一直試圖削減其應(yīng)用程序集。這并不意味著它沒(méi)有完全取消那些，特別是預(yù)裝的應(yīng)用程序和服務(wù)，這些應(yīng)用程序和服務(wù)提供了谷歌和 Android 本身都沒(méi)有提供的功能。不幸的是，正如這份最新的安全報(bào)告所證明的那樣，這些應(yīng)用程序和服務(wù)也可能成為黑客的切入點(diǎn)。

公平地說(shuō)，曾經(jīng)有一段時(shí)間 Google 和 Android，至少是 AOSP，沒(méi)有提供像樣的應(yīng)用程序，OEM 不得不自生自滅。除了 Knox 安全和安全文件夾等服務(wù)外，三星還提供了自己的短信、電話(huà)簿、日歷甚至計(jì)算器應(yīng)用程序，以提供 Android 沒(méi)有的功能。如今，三星仍然預(yù)裝了其中的一些應(yīng)用程序，即使它也預(yù)裝了谷歌的等效應(yīng)用程序，有些實(shí)際上成為了安全責(zé)任。

移動(dòng)應(yīng)用安全機(jī)構(gòu)Oversecured 報(bào)告稱(chēng)，三星自己的應(yīng)用和服務(wù)中存在不少于 7 個(gè)漏洞。其中一些具有諷刺意味的是在 Knox 安全框架中發(fā)現(xiàn)，但其他一些還包括 DeX 桌面框架甚至電話(huà)應(yīng)用程序 UI。這些漏洞使黑客能夠竊取短信、安裝任意應(yīng)用程序或以系統(tǒng)用戶(hù)身份訪(fǎng)問(wèn)文件。

由于風(fēng)險(xiǎn)的嚴(yán)重性，Oversecured 還沒(méi)有公開(kāi)披露其他漏洞。他們確實(shí)負(fù)責(zé)任地將其披露給了三星，后者修補(bǔ)了這些漏洞并在今年 4 月和 5 月的更新中推出了這些漏洞。三星表示，他們不知道有任何利用這些缺陷的報(bào)告。

當(dāng)然，應(yīng)用程序和軟件存在安全漏洞的情況并不少見(jiàn)，但它們?cè)浇咏僮飨到y(tǒng)的核心，它們帶來(lái)的風(fēng)險(xiǎn)就越大。沒(méi)有什么比三星自己的系統(tǒng)應(yīng)用程序更接近系統(tǒng)了，這份報(bào)告應(yīng)該讓三星更加意識(shí)到它對(duì)這些用戶(hù)無(wú)法輕易卸載或阻止的預(yù)裝應(yīng)用程序和服務(wù)所承擔(dān)的責(zé)任。