Смартфони с Android на популярни марки идат с инструменти за следене
Компанията за ИТ сигурност Kryptowire откри в модерни смарт телефони на известни марки употребяващи Android вградени в операционните системи евентуално вредоносни принадлежности и други типове уязвимости. Те са заложени в софтуера на устройствата още на стадия на тяхната разработка, т.е. преди потребителите да се допрян до тях.
Изследването е финансирано от Департамента за вътрешната сигурност на Съединени американски щати и е демонстрира, че в настоящите артикули на 26 производители участват 146 уязвимости, които могат да повлияят отрицателно на сигурността на потребителските данни. По-голямата част от смарт телефоните се продават и в България. Други пък могат да бъдат поръчани онлайн.
Кои са " първенците "
Според Kryptowire в топ 5 по количество наранени устройства попадат фирмите Samsung, Asus, Xiaomi и непопулярните у нас Lava и Tecno.
В листата влизат моделите на Samsung: J5, J6, J7, J7 Neo, J7 Duo и J7 Pro. Тези на Xiaomi са повече: Redmi 5, Redmi 6 Pro, Mi 5S Plus, Mi Mix, Mi Note 2, Mi Mix 2S, Mi A2 Lite, Redmi Note 6 Pro и Mi A3. Там е попаднал и таблетът Mi Pad 4. Интересно е наличието на модели с " чист " Android – Mi A2 и Mi A3.
Asus са рекордьори по количество модели с пробойни. В листата на Kryptowire се загатват: ZenFone Live, ZenFone 5 Selfie, ZenFone 3s Max, ZenFone 3, ZenFone Max 4, ZenFone 4 Selfie, ZenFone 5Q, ZenFone 3 Ultra, ZenFone 3 Laser и други
Трябва да се подчертае, че не става дума единствено за бюджетни модели. Mi Mix на Xiaomi да вземем за пример е флагман на марката, който бе един от първите с " безрамков " екран.
В листата на Kryptowire се загатват още следните компании: Adwan, Allview, Archos, Blackview, Bluboo, BQ, Cherry, Coolpad, Cubot, Dexp, Doogee, Elephone, Evercross, Fly, Haier, Hisense, Infinix, Kata, Lava, Panasonic, Sony, Symphony, Ulefone и Walton.
Разпределение на откритите недостатъци, Източник: Kryptowire
Какви са заканите
Всички тествани от анализаторите смарт телефони са разнообразни степени на заплаха за потребителите. Например тези в продуктите на Samsung разрешават отдалечено инсталиране на приложения, което може да докара до кражба на информация, в това число пароли от банкови приложения.
Уязвимости в модели на други устройства дават опция за смяна на настройки на системата и на свързаността, пускане на команди и подслушване на потребителя посредством вградения микрофон. Записът на тон е вероятен в упоменатите Mi A3 и Mi A2 на Xiaomi.
Това не е всичко
Настоящото проучване не е първо по рода си за Kryptowire. През лятото на 2018 година компанията разгласява резултатите от друго такова и тогава откри общо 47 уязвимости в 25 смарт телефона, работещи под Android.
Опасни приложения бяха открити в модели на: Alcatel, Asus, Coolpad, Essential, Leagoo, LG, MXQ, Nokia, Oppo, Orbic, Plum, Sky, Sony, Vivo и ZTE.
Както се вижда някои от тях (Asus, Сoolpad и Sony) участват в новата ранглиста, като описът е допълнен от марки като Nokia, която също употребява " чиста " версия на Android. Повдигнати вежди провокира наличието на Essential, която е учредена от " бащата " на Android – Анди Рубин. Зловредният програмен продукт смарт телефона на компанията разрешава отдалечено връщане към фабричен настройки със загуба с цялото негово наличие.
Засегнатите устройства, съгласно Kryptowire
Има ли решение
Потребителите на процедура не могат независимо да отстранен уязвимостите. Причина за това е, че това няма по какъв начин да стане с нормалните средства. Достъпът до приложения, вградени на заводско равнище, е вероятен при съществуване на root права и с потребление на bootloader. Очевидно е, че надалеч не всеки може да направи нещо такова.
Даже приемането на root права обаче не подсигурява опция за унищожаване на зловредните приложения. От такива умерено може да зависи работата на операционната система. С други думи – премахването на слабостите може да бъде осъществено единствено от производителите посредством обновявания на софтуера.
Изследването е финансирано от Департамента за вътрешната сигурност на Съединени американски щати и е демонстрира, че в настоящите артикули на 26 производители участват 146 уязвимости, които могат да повлияят отрицателно на сигурността на потребителските данни. По-голямата част от смарт телефоните се продават и в България. Други пък могат да бъдат поръчани онлайн.
Кои са " първенците "
Според Kryptowire в топ 5 по количество наранени устройства попадат фирмите Samsung, Asus, Xiaomi и непопулярните у нас Lava и Tecno.
В листата влизат моделите на Samsung: J5, J6, J7, J7 Neo, J7 Duo и J7 Pro. Тези на Xiaomi са повече: Redmi 5, Redmi 6 Pro, Mi 5S Plus, Mi Mix, Mi Note 2, Mi Mix 2S, Mi A2 Lite, Redmi Note 6 Pro и Mi A3. Там е попаднал и таблетът Mi Pad 4. Интересно е наличието на модели с " чист " Android – Mi A2 и Mi A3.
Asus са рекордьори по количество модели с пробойни. В листата на Kryptowire се загатват: ZenFone Live, ZenFone 5 Selfie, ZenFone 3s Max, ZenFone 3, ZenFone Max 4, ZenFone 4 Selfie, ZenFone 5Q, ZenFone 3 Ultra, ZenFone 3 Laser и други
Трябва да се подчертае, че не става дума единствено за бюджетни модели. Mi Mix на Xiaomi да вземем за пример е флагман на марката, който бе един от първите с " безрамков " екран.
В листата на Kryptowire се загатват още следните компании: Adwan, Allview, Archos, Blackview, Bluboo, BQ, Cherry, Coolpad, Cubot, Dexp, Doogee, Elephone, Evercross, Fly, Haier, Hisense, Infinix, Kata, Lava, Panasonic, Sony, Symphony, Ulefone и Walton.
Разпределение на откритите недостатъци, Източник: Kryptowire
Какви са заканите
Всички тествани от анализаторите смарт телефони са разнообразни степени на заплаха за потребителите. Например тези в продуктите на Samsung разрешават отдалечено инсталиране на приложения, което може да докара до кражба на информация, в това число пароли от банкови приложения.
Уязвимости в модели на други устройства дават опция за смяна на настройки на системата и на свързаността, пускане на команди и подслушване на потребителя посредством вградения микрофон. Записът на тон е вероятен в упоменатите Mi A3 и Mi A2 на Xiaomi.
Това не е всичко
Настоящото проучване не е първо по рода си за Kryptowire. През лятото на 2018 година компанията разгласява резултатите от друго такова и тогава откри общо 47 уязвимости в 25 смарт телефона, работещи под Android.
Опасни приложения бяха открити в модели на: Alcatel, Asus, Coolpad, Essential, Leagoo, LG, MXQ, Nokia, Oppo, Orbic, Plum, Sky, Sony, Vivo и ZTE.
Както се вижда някои от тях (Asus, Сoolpad и Sony) участват в новата ранглиста, като описът е допълнен от марки като Nokia, която също употребява " чиста " версия на Android. Повдигнати вежди провокира наличието на Essential, която е учредена от " бащата " на Android – Анди Рубин. Зловредният програмен продукт смарт телефона на компанията разрешава отдалечено връщане към фабричен настройки със загуба с цялото негово наличие.
Засегнатите устройства, съгласно Kryptowire
Има ли решение
Потребителите на процедура не могат независимо да отстранен уязвимостите. Причина за това е, че това няма по какъв начин да стане с нормалните средства. Достъпът до приложения, вградени на заводско равнище, е вероятен при съществуване на root права и с потребление на bootloader. Очевидно е, че надалеч не всеки може да направи нещо такова.
Даже приемането на root права обаче не подсигурява опция за унищожаване на зловредните приложения. От такива умерено може да зависи работата на операционната система. С други думи – премахването на слабостите може да бъде осъществено единствено от производителите посредством обновявания на софтуера.
Източник: pcworld.bg
КОМЕНТАРИ