Совершенно новые смартфоны Android содержат 146 уязвимостей безопасности

Совершенно новые смартфоны Android содержат 146 уязвимостей безопасности

Если вы считаете, что новые смартфоны Android защищены от уязвимостей, подумайте еще раз — новый анализ, проведенный компанией по безопасности Kryptowire, выявил 146 уязвимостей уровня CVE в устройствах от 29 производителей.

Без детального изучения всех 146 из списка компании не ясно, сколько же было критических недостатков, но большинство пользователей согласились бы, что 146 только в 2019 году звучит как очень много.

Уязвимости включают изменение системных свойств (28,1%), установку приложений (23,3%), выполнение команд (20,5%) и параметры беспроводной связи (17,8%).

Помните, что эти устройства, включая смартфоны Android от Samsung и Xiaomi, никогда даже не включались, не говоря уже о том, чтобы загружать какие-то приложения — это проблемы безопасности, поставляемые с вашим новым телефоном, а не те, которые ставят под угрозу устройство во время его использования.

Виновником является ряд программ, специфичных для каждого производителя, установленных в дополнение к самому Android или его приложениям Google.

Но, как и в случае приложений Android и Google, их нельзя удалить. Единственный способ исправить эти недостатки — сообщить производителю смартфона о проблеме и выпустить исправление.

Фабрика загрязнена

Конечно, об этом говорили и раньше. В августе 2019 года исследователь Google Project Zero Мэдди Стоун (Maddie Stone) выступила в Back Hat с презентацией, посвященной проблеме вредоносного ПО, которое она и ее коллеги обнаружили на устройствах Android в цепочке поставок.

Хотя это связано с программным обеспечением, преднамеренно установленным для совершения злонамеренных действий, а не с уязвимым программным обеспечением, с точки зрения пользователя, эффект заключается в том, что они подвергаются риску, даже не осознавая этого.

В одном из примеров ботнет Chamois SMS удалось заразить 21 миллион устройств. Даже после согласованной очистки два года спустя это ПО все еще цеплялось за почти 7,4 миллиона жертв.

В чем тогда основная проблема здесь? Очевидно, что эти устройства являются частью сложных цепочек поставок аппаратного и программного обеспечения, поэтому, возможно, уязвимые или скомпрометированные устройства Android просто идут с этими проблемами.

По словам Kryptowire, чей генеральный директор Ангелос Ставру сделал важное заявление в интервью Wired:

Мы считаем, что, если вы являетесь поставщиком, вы не должны доверять кому-либо еще, чтобы иметь такой же уровень разрешений, как у вас в системе. Это не должно быть автоматической вещью.

Возможно, из этого следует, что поставщики, возможно, не должны устанавливать на устройства Android столько программного обеспечения, которое пользователи не смогут удалить . Подозрение заключается в том, что некоторое из подобного ПО устанавливаются только по коммерческим причинам, что снижает уровень безопасности устройства.

Совет: подумайте о покупке у продавца, который продает чистый или практически чистый Android (т.е. с минимумом дополнительного программного обеспечения).

Большинство производителей, у которых у Kryptowire обнаружены уязвимые устройства, являются брендами, с которыми никто за пределами Азии не столкнется. С другой стороны, непропорциональное количество недостатков было обнаружено в популярных брендах.

Несомненно, было бы полезно, если бы производители устройств Android тратили больше времени на изучение своих продуктов на предмет уязвимостей. Это случится? Хотелось бы верить!

По мотивам

Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!

Владимир Безмалый

О безопасности и не только