Совершенно новые смартфоны Android содержат 146 уязвимостей безопасности

Совершенно новые смартфоны Android содержат 146 уязвимостей безопасности

Если вы считаете, что новые смартфоны Android защищены от уязвимостей, подумайте еще раз — новый анализ, проведенный компанией по безопасности Kryptowire, выявил 146 уязвимостей уровня CVE в устройствах от 29 производителей.

Без детального изучения всех 146 из списка компании не ясно, сколько же было критических недостатков, но большинство пользователей согласились бы, что 146 только в 2019 году звучит как очень много.

Уязвимости включают изменение системных свойств (28,1%), установку приложений (23,3%), выполнение команд (20,5%) и параметры беспроводной связи (17,8%).

Помните, что эти устройства, включая смартфоны Android от Samsung и Xiaomi, никогда даже не включались, не говоря уже о том, чтобы загружать какие-то приложения — это проблемы безопасности, поставляемые с вашим новым телефоном, а не те, которые ставят под угрозу устройство во время его использования.

Виновником является ряд программ, специфичных для каждого производителя, установленных в дополнение к самому Android или его приложениям Google.

Но, как и в случае приложений Android и Google, их нельзя удалить. Единственный способ исправить эти недостатки — сообщить производителю смартфона о проблеме и выпустить исправление.

Фабрика загрязнена

Конечно, об этом говорили и раньше. В августе 2019 года исследователь Google Project Zero Мэдди Стоун (Maddie Stone) выступила в Back Hat с презентацией, посвященной проблеме вредоносного ПО, которое она и ее коллеги обнаружили на устройствах Android в цепочке поставок.

Хотя это связано с программным обеспечением, преднамеренно установленным для совершения злонамеренных действий, а не с уязвимым программным обеспечением, с точки зрения пользователя, эффект заключается в том, что они подвергаются риску, даже не осознавая этого.

В одном из примеров ботнет Chamois SMS удалось заразить 21 миллион устройств. Даже после согласованной очистки два года спустя это ПО все еще цеплялось за почти 7,4 миллиона жертв.

В чем тогда основная проблема здесь? Очевидно, что эти устройства являются частью сложных цепочек поставок аппаратного и программного обеспечения, поэтому, возможно, уязвимые или скомпрометированные устройства Android просто идут с этими проблемами.

По словам Kryptowire, чей генеральный директор Ангелос Ставру сделал важное заявление в интервью Wired:

Мы считаем, что, если вы являетесь поставщиком, вы не должны доверять кому-либо еще, чтобы иметь такой же уровень разрешений, как у вас в системе. Это не должно быть автоматической вещью.

Возможно, из этого следует, что поставщики, возможно, не должны устанавливать на устройства Android столько программного обеспечения, которое пользователи не смогут удалить . Подозрение заключается в том, что некоторое из подобного ПО устанавливаются только по коммерческим причинам, что снижает уровень безопасности устройства.

Совет: подумайте о покупке у продавца, который продает чистый или практически чистый Android (т.е. с минимумом дополнительного программного обеспечения).

Большинство производителей, у которых у Kryptowire обнаружены уязвимые устройства, являются брендами, с которыми никто за пределами Азии не столкнется. С другой стороны, непропорциональное количество недостатков было обнаружено в популярных брендах.

Несомненно, было бы полезно, если бы производители устройств Android тратили больше времени на изучение своих продуктов на предмет уязвимостей. Это случится? Хотелось бы верить!

По мотивам

Alt text

Владимир Безмалый

О безопасности и не только