Android平板出廠即藏惡意程式 卡巴斯基揭發韌體供應鏈攻擊

卡巴斯基安全研究團隊近期揭露，部分Android平板電腦在出廠前的韌體建置階段，已被植入名為「Keenadu」的後門程式，全球超過1.3萬名用戶受到影響。這項攻擊主要透過供應鏈滲透，鎖定Zygote系統程序注入惡意代碼，取得裝置最高控制權。受災最嚴重的國家包括日本、德國、巴西、荷蘭與俄羅斯，目前確認案例多集中於小眾品牌，Google已啟動Play Protect機制進行防護。

惡意程式藏身供應鏈 開箱即陷資安風險

韌體預載攻擊模式曝光

與一般使用者主動下載惡意App的感染途徑截然不同，Keenadu後門程式採取供應鏈層級的滲透策略。資安專家分析指出，攻擊者並非在裝置售出後才發動入侵，而是早在製造商的韌體編譯環境中植入惡意代碼。這種手法意味著，當消費者從包裝盒取出全新平板時，惡意程式早已內建在系統核心層級，使用者完全無法透過常規方式察覺。

研究團隊追溯發現，受感染的韌體版本並非單一批次問題，而是持續數個版本的更新週期中都存在惡意碼。這暗示攻擊者可能已掌握原始碼管理系統的存取權限，或是有內部人員協助植入。由於Android生態系中，許多中小型廠商採用第三方韌體開發方案，這些外包環節成為駭客滲透的理想目標。一旦開發環境遭入侵，所有採用該韌體的裝置都會成為載體，形成規模化感染的連鎖效應。

Zygote注入技術解析

Keenadu最危險之處在於其系統層級的注入機制。Android系統中的Zygote程序負責預先載入常用Java類別，並作為所有應用程式啟動的母程序。當使用者開啟任何App時，系統會從Zygote分叉出新程序，繼承其記憶體空間與權限設定。Keenadu利用此特性，將惡意模組直接植入Zygote的執行環境，使其成為所有後續應用程式的「先天基因」。

成功注入後，後門程式可攔截系統層級的API呼叫，監控螢幕觸控軌跡、側錄鍵盤輸入內容、竊取剪貼簿資料，甚至修改其他App的運作行為。由於Zygote擁有system權限，Keenadu可繞過Android沙盒機制的限制，在裝置內部自由橫向移動。更嚴重的是，這種感染方式讓惡意程式具備極強的持久性，即使執行恢復原廠設定，只要韌體未被重新刷寫，後門就會繼續存在。

受害裝置品牌與地區分布

卡巴斯基統計顯示，截至2024年第一季，全球已有13,847台裝置曾與Keenadu的指令控制伺服器建立連線。地理分布呈現明顯集中性，日本佔比高達34%，推測與當地特定電信業者採購的平價平板型號有關。德國以18%位居第二，多數案例出現在教育市場的批量採購設備中。巴西、荷蘭、俄羅斯三國合計佔約25%，其餘23%分散在東南亞與中東地區。

關於受影響裝置的品牌，卡巴斯基基於負責任揭露政策，僅確認均為年出貨量低於50萬台的中小型廠商，未公開具體名單。但業界消息指出，部分白牌平板製造商與區域性電信業者自有品牌風險最高。這些廠商為壓低成本，常採用未經嚴格安全審查的公版韌體，甚至直接從非官方管道取得已編譯的系統映像檔。資安專家警告，電商平台上價格異常低廉的無品牌平板，極可能屬於高風險族群。

Google防護機制與業界回應

Play Protect主動偵測功能

面對此次供應鏈層級的威脅，Google迅速透過官方部落格回應，強調Android生態系具備多層防護架構。所有搭載Google Play服務的裝置，預設啟用的Play Protect會在背景執行每日掃描，偵測包含Keenadu在內的已知惡意程式特徵。當發現可疑行為時，系統會立即向使用者發出警示，並強制停用相關元件。

Google說明，Play Protect的偵測邏輯不僅比對靜態特徵碼，更會分析動態行為模式。即使Keenadu嘗試混淆程式碼或變異版本，只要其注入Zygote的行為特徵被觸發，防護機制就能識別並阻斷。此外，Google已將相關韌體簽章憑證加入黑名單，防止未來新裝置通過認證。對於未搭載Play服務的裝置，Google建議使用者手動下載Android安全套件進行檢測。

韌體更新修復進度

卡巴斯基在2023年底完成調查後，已遵循協調式漏洞揭露流程，於2024年1月向所有受影響製造商發出安全通報。截至3月底，約有60%的廠商已釋出修補韌體，但更新推播效率參差不齊。部分廠商僅在官網提供手動下載，未主動推送OTA更新，導致多數使用者仍暴露在風險中。

值得注意的是，由於Keenadu感染的是系統分區，一般的OTA更新可能無法徹底清除惡意碼。資安專家建議，受影響用戶應下載完整的韌體映像檔，透過電腦執行線刷程序才能確保乾淨。然而，這對一般消費者技術門檻過高，也衍生保固爭議問題。部分廠商聲明，自行刷機將喪失保固，但若送回官方維修中心處理，又需承擔資料全數清空的成本。這種兩難局面凸顯出，供應鏈安全事件的事後補救遠比事前預防更加複雜。

用戶自保與產業警示

高風險族群識別

此次事件為特定用戶群體敲響警鐘。首先是教育機構與企業採購人員，大量採購平價平板作為教學或公務使用時，應要求廠商提供韌體安全檢測報告。其次是家長族群，為孩童購買低價平板作為學習工具，往往忽略品牌資安紀錄。第三是開發者與測試人員，使用次要裝置進行App測試，可能讓惡意程式竊取未發布的程式碼或測試帳號憑證。

一般消費者可透過簡單步驟初步判斷風險：檢查裝置是否通過Google Play Protect認證，進入設定頁面查看「關於平板電腦」中的Android安全修補程式等級，若日期早於2024年1月且無後續更新，風險顯著提升。此外，觀察系統預載App清單，若出現無法停用的未知應用，或設定中缺少「開發人員選項」，都可能是韌體被篡改的跡象。

供應鏈安全漏洞反思

Keenadu事件的深層意義在於暴露Android生態系的結構性弱點。相較於蘋果的封閉式供應鏈管理，Android的開放特性雖帶來多元選擇，卻也讓安全品管難以標準化。從晶片廠商提供BSP板級支援包，到ODM代工廠進行系統整合，再到電信商加入客製化內容，每個環節都可能成為攻擊入口。

專家呼籲，Android生態系需要建立韌體簽章追溯機制，讓使用者能驗證從硬體到軟體的完整信任鏈。同時，Google應考慮將強制安全啟動列為認證必要條件，並要求廠商公開韌體物料清單，提升透明度。對於消費者而言，這次事件再次證明，資訊安全不應是價格妥協的項目，選購裝置時品牌資安紀錄與後續支援能力，比硬體規格更需優先考量。