Многие устройства Android поставляются с уязвимостями прошивки, исследователи находят

Rate this post

Компания ASUS, эфирные, компания LG, и ZTE уже все пообещали залатать недостатки безопасности, обнаруженные мобильные охранная фирма Kryptowire, по проводной. Исследование фирмы было призвано указать, что некоторые сбои в безопасности происходят из кода, написанного телефонными компаниями для изменения Android.

Исследователи обнаружили ошибки в прошивке 10 отдельных устройств, перевозимых через крупные американские носители, сообщает Wired,который видел раннюю версию отчета Kryptowire. Безопасность провалы могут привести к все от того, злоумышленник запер кого-то из своих устройств, чтобы получить контроль над микрофоном и более — хотя большинство атак, которые исследователи вся необходимые пользователям скачать какой-то вредоносного приложения, прежде чем они могли воспользоваться дырки присутствуют в прошивке. Их исследования, финансируемые Министерством внутренней безопасности, представлены сегодня на конференции Black Hat USA security conference.

По словам Kryptowire, эти уязвимости проистекают из открытой природы Android, которая позволяет третьим сторонам настраивать код и изменять помехи или создавать совершенно разные версии Android. Однако, как выяснили исследователи, эта открытая система также может привести к пробелам в безопасности телефонов. Wired говорит, что исследование рассматривает эти недостатки как проблему, эндемичную для Android.

«Многие люди в цепочке поставок хотят иметь возможность добавлять свои собственные приложения, настраивать, добавлять свою собственную треску”, — сказал генеральный директор Kryptowire Ангелос Ставру в Wired. “Это увеличивает поверхность атаки и увеличивает вероятность программных ошибок.”

Один особенно плохой пример был найден в смартфоне Asus Zenfone V Live. Согласно Wired, Kryptowire нашел достаточно дыр в своем коде, чтобы подвергнуть пользователей полному захвату своего устройства-скриншоты и видеозаписи могли быть сделаны с их экрана, и кто-то мог теоретически читать и изменять свои текстовые сообщения. Asus сказал, что он «в курсе последних проблем безопасности “и что он” работает усердно и быстро, чтобы решить их» с патчем.

Essential, LG и ZTE все ответили на Wired заявлениями о том, что они исправили некоторые или все проблемы, выявленные Kryptowire после оповещения фирмой. Однако менее ясно, были ли эти исправления развернуты для всех пользователей, поскольку только AT & T подтвердила, что она развернула любое из этих обновлений. И, как отмечают исследователи, этот процесс обновления, сам по себе, сломан для многих, с обновлениями, которые часто занимают месяцы, чтобы собрать и пробиться к пользователям.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *