Ваш телефон заражен уже из коробки.

0

Сохранение вашего телефона в безопасности от вредоносных приложений достаточно сложно,  к тому же Google ежегодно издает сотни тысяч не проверенных приложений.

Ваш телефон является привлекательной целью. Приложения открывают большой доступ к вашим устройствам, они имеют доступ к вашим контактам, вашему местоположению, использованию ваших персональных данных, среди и так многих личных данных, которыми вы делитесь со своего смартфона.

Теперь, вы можете представить, насколько сложно прервать эту цепочку,  когда есть приложения с уязвимостями безопасности, устанавливающиеся на всё большее количество новых устройств.

Исследователи безопасности из охранной фирмы Kryptowire обнаружили 38 различных уязвимостей, которые могут  предоставить мошенникам возможность шпионажа за владельцем, загруженные на 25 телефонов Android — 11 из которых к слову проданы крупными американскими розничными сетями.

Какие же это устройства ?

Это устройства от Asus, ZTE, LG и Essential Phone, которые распространяются операторами, такими как Verizon или AT & T.

Уязвимости — это очередной удар по репутации платформы Android, популярность её достаточно страдает от того, что это менее безопасная мобильная платформа, чем iOS от Apple. Google работал над исправлением своего имиджа, созданием обновлений безопасности для поставщиков смартфонов, боролся с вредоносными приложениями на маркете, но это не сработало. Это также очередное напоминание о том, что пользователи должны быть более бдительными при использовании своих Андроид устройств, ведь речь идёт о безопасности их личных данных.

Анджело Ставроу, генеральный директор Kryptowire, и Райан Джонсон, директор по исследованиям , раскрыли свои результаты на хакерской конференции DEFCON в прошлую пятницу – 10.08.2017г.

«Все уязвимости, о которых идёт речь, являются предустановленными. Они уже есть, когда вы получаете телефон и достаёте его новеньким из коробки», — сказал Ставру. «Это важно, потому что потребители думают, что они будут в зоне риска, лишь тогда, когда устанавливают что то плохое на своё устройство».

Essential Phone пресс-секретарь сказала, что компания исправила эти проблемы, как только Kryptowire обратились к ним.

Представитель LG сказал, что компания применяет исправления безопасности для устранения уязвимостей.

«ASUS осознает недавние проблемы безопасности ZenFone и прилагает все усилия и решения, чтобы разрешить их с помощью обновлений программного обеспечения, которые будут распространяться по воздуху нашим пользователям ZenFone», — сказал представитель ASUS в своем заявлении.

AT & T заявила, что уже развернуты апдейты для решения проблемы.

ZTE не ответила на запрос.

Verizon также не ответил на запрос для комментариев.

«Проблемы, которые  изложили специалисты на DEFCON, не влияют на операционную систему Android, а скорее на сторонний код и приложения на устройствах. Вместе с Kryptowire мы обратились к партнерам Android для решения этих проблем», — сказал представитель Google в заявление.

 

Дефект уже из коробки

 

Хакеры вероятно воспользуются и смогут использовать предустановленные уязвимости, записывать изображение экранов, делать скриншоты, «окирпичивать» смартфоны или красть конфиденциальную информацию, сказал Джонсон. Они также могут получать записи того, что человек печатал, читал и с кем общался.

Учитывая, что тысячи людей не ведая устанавливают вредоносные приложения, которые представляют собой внешне абсолютно безобидные инструменты, такие как фонарик или популярные игры, такие как Fortnite, злоумышленникам заставить людей загружать вредоносное приложение — абсолютно не сложная задача.

В то время как большинство вредных приложений всё ещё не могли получать доступ к защищенным файлам, теперь они могут использовать эти заводские уязвимости приложений как лазейки, чтобы войти и получить доступ к вашему устройству, Джонсон сказал в интервью перед DEFCON.

Частично проблема заключается в том, что производители телефонов  владеют свободой действия для предустановки приложений которые они хотели бы продать вместе со своим устройством. Исследователи говорят, что Google может проработать свой магазин приложений Play Store и блокировать вредоносное ПО или приложения с недостаточным уровнем безопасности, но они не имеют контроля над тем, что поставляется на устройствах «из коробки».

«Любой производитель может создать свою сборку Android», — сказал Джонсон. «Некоторые из этих предустановленных приложений могут не контролироваться приложениями Google».

 

Какие уязвимости?

 

Поскольку устройств Android существует так много,  огромное количество разных производителей телефонов использующих данную платформу, Google и остальным исследователям Андроид систем трудно отслеживать все предустановленные приложения, сказал Джонсон. Некоторые розничные продавцы работают лучше, чем другие, убедившись, что его предустановленные в телефонах приложения защищены и безопасны, приступают к реализации.

Уязвимости отличаются у всех смартфонов, потому что у всех устройств разные предустановленные приложения, говорят исследователи Kryptowire.

Некоторые из них серьезны,  один телефон имеет уязвимость, позволяющая злоумышленнику осуществить сброс к заводским настройкам. Лазейка возникает благодаря предустановленному приложению с именем файла «com.ts.android.hiddenmenu». Любое приложение на устройстве может получить доступ к предустановленному приложению и использовать его для доступа к системе Essential Phone и уничтожить все данные, хранящиеся на нем, сказал Ставру.

Другие уязвимости смартфонов, таких как ZenFone 3 Max от ASUS, позволяют приложениям устанавливать любое другое приложение через Интернет, получать пароли Wi-Fi, настраивать клавиатурные шпионы, перехватывать текстовые сообщения и совершать телефонные звонки. По словам исследователей, это было также на ZenFone V и ZenFone 4 Max и Max Pro.

Исследователи отмечают, что устройств больше, так как тяжело охватить все доступные устройства Android. Запуск сканирования уязвимостей на более чем 24 000 различных типов устройств Android, зарегистрированных только в 2015 году и провести их анализ является более чем серьёзной задачей.

«Как конечный пользователь, вы мало что можете сделать», — сказал Ставру. «Кому-то придется сканировать и анализировать вашу прошивку и находить уязвимости смартфона».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here