周四研究人员称，近三百万部安卓手机易受代码执行攻击，许多在美国使用，攻击者可远程完全控制设备。此前，只要花时间获取两个虽硬编码进引入漏洞固件但仍未注册的互联网域名，任何人都可利用该漏洞，发现漏洞后，安全评级公司 BitSight 技术人员注册了这些地址并至今控制着。即使现在，有漏洞的固件未加密发送到中国服务器的通信，手机连接公共热点等非安全网络时若不使用虚拟专用网络软件，就可能遭受代码执行攻击。自 BitSight 及其子公司 Anubis 网络拥有这两个预配置域名以来，超过 280 万部设备尝试连接以寻找可执行无限制“根”权限的软件。若恶意方在 BitSight 之前获取地址，可安装键盘记录器、窃听软件和其他绕过安卓操作系统安全防护的恶意软件。近三百万部设备仍易受所谓中间人攻击，因为由中国公司 Ragentek 集团开发的固件未加密发送和接收的通信，也不依赖代码签名来认证合法应用，根据连接设备的 IP 地址，易受攻击的手机来自世界各地，美国是受影响最大的国家。

BitSight 研究人员在周四发布的博客文章中称，他们去百思买购买了 BLU Studio G 手机并成功利用后门进行攻击，在/data/system/（用于拥有全权限系统特权的应用的文件位置）安装了名为 system_rw_test 的文件，并提供了截图。通过观察连接到两个之前未注册域名时手机发送的数据，他们列出了 55 种受影响的已知设备型号，受影响最多的制造商是美国的 BLU 产品公司，约占 26%，其次是跨国的 Infinix 占 11%，Doogee 近 8%，Leagoo 和 Xolo 各约 4%，超过 47%连接到 BitSight 陷阱的手机未表明其制造商。具体型号列表可在国土安全部资助的 CERT 的此咨询中找到。连接设备的 IP 地址来自世界各地，美国最多。更新：此文章发布后不久，帮助揭露 rootkit 的另一位 BitSight 研究人员 João Gouveia 在推特中称，他们看到来自各种部门（包括医疗、政府和银行）的大量连接。鉴于有大量制造商未知的连接设备，受影响设备列表在未来几周肯定会增加。技术人员可通过监控网络流量并寻找发送到以下硬编码进 Ragentek 固件的域名的出站连接来检查手机是否易受攻击：oyag[.]lhzbdvm[.]com、oyag[.]prugskh[.]net、oyag[.]prugskh[.]com。担心手机可能运行该固件的人也可联系制造商，目前仅 BLU 产品公司发布了修复漏洞的更新，不清楚是否会自动安装或用户必须手动应用，BitSight 研究人员尚未测试该补丁以评估其有效性，BLU 产品代表未回复寻求评论的消息。受影响或可能受影响的用户若没有更新，也可通过仅连接他们信任的网络或连接热点等非安全 Wi-Fi 网络时使用 VPN 软件来保护自己。

关于 Ragentek 固件知之甚少，BitSight 研究人员称固件中的代码会刻意隐藏底层二进制文件的存在，例如在遍历系统进程时故意跳过受影响的二进制文件（“debugs”），不显示在返回结果中，还采取类似步骤规避 top 命令。尽管有可疑行为，BitSight 研究人员怀疑固件旨在为手机提供合法的空中更新，后门功能是无意的，试图联系 Ragentek 等制造商未成功。本周这是研究人员第二次警告安卓手机预装相当于后门的东西，周二安全公司 Kryptowire 的研究人员报告称，数十万台手机向由中国上海 AdUps 技术公司运营的服务器发送大量关于手机及其用户活动的个人数据，这些公司制造了另一种恶意软件。这些披露都强调了受影响制造商测试的不足以及消费者对日益成为生活核心的设备的盲目信任。