Недостатки в предустановленных приложениях открывают миллионы Android-устройств для хакеров

Недостатки в предустановленных приложениях открывают миллионы Android-устройств для хакеров

Купили новый Android-телефон? Что, если я скажу, что ваш новый смартфон может быть удаленно взломан?

Почти все Android-телефоны поставляются с бесполезными приложениями, предварительно установленными производителями. Такие приложения обычно называют bloatware, и вы ничего не можете сделать, если в любом из них есть встроенный бэкдор, даже если вы осторожны, избегая установку приложений из сторонних источников.

Именно это продемонстрировали исследователи безопасности из мобильной охранной фирмы Kryptowire на конференции по безопасности DEF CON. Исследователи раскрыли подробности о 47 различных уязвимостях во встроенном программном обеспечении и приложениях по умолчанию (предварительно установленных и в большинстве случаев несъемных) на 25 телефонах Android, которые могут позволить хакерам шпионить за пользователями и перезагружать их устройства, угрожая взломом миллионам Android-устройств.

По меньшей мере 11 из этих уязвимых смартфонов производятся компаниями, такими как Asus, ZTE, LG и Essential Phone, и распространяются американскими операторами, такими как Verizon и AT & T.

Среди других основных брендов телефонов Android — Vivo, Sony, Nokia и Oppo, а также многие более мелкие производители, такие как Sky, Leagoo, Plum, Orbic, MXQ, Doogee, Coolpad и Alcatel.

Некоторые уязвимости, обнаруженные исследователями, могут даже позволить хакерам выполнять произвольные команды в качестве системного пользователя, уничтожать все пользовательские данные с устройства, блокировать пользователей, получать доступ к микрофону устройства и другим функциям, получать доступ ко всем своим данным, включая их электронные письма и сообщения, читать и изменять текстовые сообщения, отправлять текстовые сообщения и многое другое — все это без ведома пользователей.

Самое печальное что все эти уязвимости поставляются вместе с вашими телефонами прямо из коробки.

Например, уязвимости в Asus ZenFone V Live могут позволить полный захват системы, позволяя злоумышленникам делать скриншоты и записывать экран пользователя, делать телефонные звонки, отслеживать текстовые сообщения и многое другое.

Kryptowire, чьи исследования были профинансированы Департаментом внутренней безопасности США, объяснил, что эти уязвимости обусловлены открытым характером операционной системы Android, которая позволяет сторонним производителям и операторам изменять код и создавать совершенно разные версии Android.

Вместе с тем следует отметить, что, поскольку сама операционная система Android не уязвима ни к одной из раскрываемых проблем, Google не может их устранить, поскольку не контролирует третьи приложения, предварительно установленные производителями и операторами.

По мотивам  https://thehackernews.com/2018/08/android-app-hack.html 

Alt text

Владимир Безмалый

О безопасности и не только