Эти популярные телефоны Android пришли с уязвимостями

Держать ваш телефон в безопасности от вредоносных приложений достаточно сложно, с Google штамповки сотни тысяч плохих приложений каждый год.

Ваш телефон делает для привлекательной цели. Приложения открывают доступ к вашим устройствам, контактам, местоположению, использованию данных, а также ко многим личным сведениям, которыми вы делитесь с телефоном.

Таким образом, Вы можете себе представить, как сложно становится, когда есть приложения с уязвимостями безопасности, которые предварительно установлены на нескольких телефонах Android.

Исследователи безопасности из Kryptowire, охранной фирмы, обнаружили 38 различных уязвимостей, которые могут позволить шпионажу и заводским сбросам загружаться на 25 телефонов Android — 11 из них продаются крупными американскими операторами. Это включает в себя устройства от Asus, ZTE, LG и Essential Phone, которые распространяются такими операторами, как Verizon или AT&T.

Уязвимости — это всего лишь последний удар по Android, который страдает от восприятия, что это менее безопасная мобильная Платформа, чем iOS от Apple. Google работал над восстановлением своего образа, заставляя обновления безопасности для поставщиков и выталкивая вредоносные приложения, но такие откровения не помогают. Это также напоминание о том, что потребители должны быть более бдительными, когда речь идет о защите информации на своих мобильных устройствах.

Ангелос Ставру, генеральный директор Kryptowire, и Райан Джонсон, директор по исследованиям фирмы, раскрыли свои выводы на хакерской конференции DEFCON в пятницу.

«Все это уязвимости, которые предлагаются. Они приходят, когда вы достаете телефон из коробки», — сказал Ставру. «Это важно, потому что потребители думают, что они только подвергаются, если они загружают что-то плохое.»

Важным заявила пресс-секретарь компании устранили проблему после Kryptowire потянулись к ним. Представитель LG сказал, что компания вводит патчи безопасности, чтобы исправить уязвимости.

«ASUS знает о недавних проблемах безопасности ZenFone и работает усердно и быстро, чтобы решить их с помощью обновлений программного обеспечения, которые будут распространяться по воздуху для наших пользователей ZenFone»,-сказал представитель ASUS в своем заявлении.

AT&T сказал, что это развернутые патчи для решения этой проблемы.

Компания ZTE не ответила на запрос комментариев. Verizon также не ответил на запрос о комментариях.

«Проблемы, которые они наметили, не влияют на саму операционную систему Android, а скорее на сторонний код и приложения на устройствах. Вместе с Kryptowire мы обратились к затронутым партнерам Android для решения этих проблем», — сказал представитель Google в своем заявлении.

Дефект по прибытии
По словам Джонсона, хакеры могут потенциально использовать предустановленные уязвимости, записывать экраны, делать скриншоты, сбрасывать кирпич или заводские настройки устройства или красть личную информацию, заставляя жертву загрузить вредоносное приложение. Они также могут потенциально получить журналы того, что человек печатал, читал и с кем они общаются.

Учитывая, что тысячи людей попадают на вредоносные приложения, которые представляют собой безвредные инструменты, такие как фонарик или популярные игры, такие как Fortnite, заставить людей загрузить правильное вредоносное приложение не сложно, отметил он.

Хотя большинство приложений не могут получить доступ к защищенным файлам, они могут использовать недостатки этих предустановленных приложений в качестве отверстий для входа, сказал Джонсон в интервью до DEFCON.

Часть проблемы заключается в том, что производители телефонов могут свободно размещать любые приложения, которые они хотели бы, на устройствах, которые они продают. В то время как Google может патрулировать свой игровой магазин и блокировать вредоносные программы или приложения с недостатками безопасности, они не имеют большого контроля над тем, что поставляется в комплекте на устройствах, говорят исследователи.

«Любой поставщик может создать сборку Android, — сказал Джонсон. «Некоторые из этих предустановленных приложений могут не получить проверку того, что Google создает со своими собственными приложениями.»

Различные уязвимости
Поскольку существует так много разных производителей телефонов для устройств Android, Google и исследователям трудно отслеживать все предустановленные приложения, сказал Джонсон. Некоторые поставщики работают лучше, чем другие, обеспечивая безопасность предустановленных приложений.

Уязвимости различны на разных телефонах, потому что все они имеют разные предустановленные приложения, говорят исследователи Kryptowire.

Некоторые из них серьезны, например, основной телефон, у которого была Уязвимость, позволяющая злоумышленнику выполнить сброс настроек. Недостаток приходит благодаря предварительно установленному приложению с именем файла » com.ts.андроид.hiddenmenu.»Любое приложение на устройстве может получить доступ к этому предустановленному приложению и использовать его, чтобы достичь системы основного телефона и уничтожить все данные, хранящиеся на нем,-сказал Ставру.

Другие уязвимости, такие как ZenFone 3 Max от ASUS, позволяют приложениям устанавливать любые другие приложения через интернет, получать пароли Wi-Fi, настраивать клавиатурные шпионы, перехватывать текстовые сообщения и совершать телефонные звонки. По словам исследователей, это было также на ZenFone V и ZenFone 4 Max и Max Pro.

Исследователи отметили, что там может быть больше, учитывая, что они не смотрели на каждое Доступное устройство Android. С более чем 24 000 различных типов устройств Android, зарегистрированных в 2015 году, было бы монументальной задачей запустить сканирование уязвимостей на каждом из них.

«Как конечный пользователь, Вы мало что можете сделать», — сказал Ставру. «Кто-то должен будет просканировать и проанализировать вашу прошивку и найти уязвимости.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *