在美國國土安全部資助的一項研究中，Kryptowire在廉價的Android智能機上，發現了由預裝應用造成的嚴重安全風險。這些App存在潛在的惡意活動，可能秘密錄製音頻、未經用戶許可就變更設置、甚至授予自身新的權限——這顯然與Android設備製造商和運營商的固件脫不了乾系。

類型占比（圖自：Kyrptowire，via Cnet）

在新工具的幫助下，Kryptowire得以在不需要接觸手機本體的情況下，掃描固件中存在的漏洞。最終在29家製造商的Android設備上，查找到了146個安全隱患。

在被問及為何特別針對廉價Android 設備展開軟件安全調查時，Kryptowire 首席執行官Angelos Stavrou 在一封郵件中解釋稱：這與穀歌對產品的管理態度，有著直接的關係。

Google 可能要求對進入其Android 生態系統的軟件產品進行更徹底的代碼分析，並擔負起供應商應有的責任。

當前政策制定者應要求該公司將最終用戶的信息安全負起責任，而不是放任其置於危險之中。

對此，谷歌亦在一封郵件中稱：其感謝合作並以負責任的態度來解決和披露此類問題的研究工作。

（廠商列表）

正如Kryptowire 研究中發現的那樣，預裝應用通常為小型、無牌的第三方軟件，其被嵌入到了較大的品牌製造商的預裝功能中。

然而這類應用很容易構成重要的安全威脅，因為與其它類型的App 相比，預裝應用的權限要大得多、且很難被應用刪除。

在2017 年於拉斯維加斯舉辦的黑帽網絡安全大會上，Kryptowire 披露了上海Adups Technology 生產的廉價手機中的類似安全威脅。

該手機的預裝軟件被發現會將用戶的設備數據發送到該公司在上海的服務器，而不會提醒這些用戶，後續其聲稱該問題已得到解決。

2018 年的時候，Kryptowire 發布了面向25 款Android 入門機型預裝固件缺陷的研究，同年谷歌推出了Test Suite，以部分解決這方面的問題。

（部分漏洞詳情）

儘管Kryptowire 曝光的事情每年都難以避免，不過Stavrou 認為，谷歌的整體安全策略，還是有所改善的。

他表示：“保護軟件供應鍊是一個非常複雜的問題，谷歌和安全研究界一直在努力解決該問題”。

在今年黑帽安全會議（Black Hat 2019）的演示期間，谷歌安全研究員Maddie Stone 表示：

“Android 設備的常見預裝App 有100~400 款，從惡意行為者的角度來看，他只需說服一家企業來打包惡意App，而無需說服成千上萬的用戶”。