Прошивки і додатки в десятках популярних Android-смартфонах, що випускаються LG, Asus, Essential, ZTE, Sony і іншими компаніями, спочатку містять в собі критичні уразливості. Як з’ясували експерти з кібербезпеки з Kryptowire, до серйозних помилок схильні не тільки бюджетні пристрої, але і моделі великих брендів, такі як LG G6, Nokia 6, ASUS ZenFone 3 Max і Sony Xperia L1.
З вини виробників проти Android-смартфона може бути проведена атака різної “ступеня тяжкості”: від створення скріншотів екрану і перехоплення натискань клавіш до повного захоплення гаджета і отримання до нього root-доступу. Доповідь Kryptowire, підготовлений за фінансової підтримки міністерства внутрішньої безпеки США, був зачитаний на конференції Black Hat в Лас-Вегасі.
Наявність “дірок” обумовлено відкритою природою Android, яка дозволяє третім особам модифікувати код, змінювати поведінку системи і навіть створювати абсолютно окремі версії ОС. В результаті в прошивках і додатках, які попередньо встановлювати на смартфони, через недогляд можуть бути допущені критичні помилки, пише Wired.
“Багато людей в ланцюжку поставок хочуть додавати свої власні додатки, зміни і код, – пояснив глава Kryptowire Ангелос Ставр. – Це призводить до збільшення поверхні атаки, збільшення ймовірності допущення програмної помилки”.
За словами дослідників, особливо небезпечна помилка була знайдена в Asus Zenfone V Live. У його системі Kryptowire виявила діру, що дозволяє зловмисникам шпигувати за користувачами, а також читати і змінювати текст повідомлень, що передаються. В Asus заявляють, що “в курсі недавніх проблем з безпекою” і працюють над їх усуненням.
Представники Essential, LG і ZTE повідомили, що вже виправили деякі помилки, після того, як про них повідомила Kryptowire.