Mange Android-enheder leveres med firmware sårbarheder, finde forskere

0
12

Asus Afgørende, LG og ZTE har alle lovet at lappe sikkerhedshuller fundet ved mobil vagtselskab Kryptowire, ifølge Wired. Virksomhedens forskning var beregnet til at påpege, at en vis sikkerhed for nedsmeltninger stammer fra kode skrevet af telefonen virksomhederne til at ændre Android.

Forskere har fundet fejl i firmwaren af 10 separate enheder, der på tværs af de store Amerikanske selskaber, ifølge Wired, hvor der var en tidlig version af Kryptowire ‘ s rapport. Den sikkerhed bortfalder kunne føre til alt fra at lade en angriber låse nogen ud af deres enhed, til at få kontrol over deres mikrofon og mere — selv om de fleste af de angreb, som forskere detaljerede nødvendigt for brugerne at downloade en form for ondsindet program, før de kan drage fordel af huller til stede i firmware. Deres forskning, finansieret af Department of Homeland Security, er bliver præsenteret i dag på Black Hat USA security conference.

Ifølge Kryptowire, disse sårbarheder stammer fra Android åbne naturen, som tillader tredje-parter til at justere koden og ændre interferens eller skabe helt forskellige versioner af Android. Men da forskerne fandt ud af, at dette åbent system kan også føre til huller i telefoner’ sikkerhed. Wired siger, at den forskning, der ser på disse fejl som et problem, er endemisk til Android.

“En masse af de mennesker i forsyningskæden ønsker at være i stand til at tilføje deres egne applikationer, tilpasse, tilføje deres egne cod,” Kryptowire CEO Angelos Stavrou fortalte Wired. “Det øger angribe overfladen, og øger sandsynligheden for, at software-fejl.”

Et meget dårligt eksempel blev fundet i Asus Zenfone V Live smartphone. Ifølge Wired, Kryptowire fundet nok huller i sin kode for at udsætte brugerne for en fuldstændig overtagelse af deres enhed — screenshots og video optagelser, der kunne være taget deres skærm, og nogen kan, teoretisk set, læse og ændre deres sms-beskeder. Asus sagde, at det er “bevidst om de seneste sikkerhedsmæssige bekymringer”, og at det er “at arbejde flittigt og til hurtigt at løse dem” med en patch.

Væsentlige, LG og ZTE alle svarede, at Kablet med udtalelser, der siger, at de havde rettet nogle eller alle af de problemer, som Kryptowire efter at være blevet advaret af virksomheden. Om disse patches er blevet rullet ud til alle brugere er mindre klar, men da kun PÅ at&T bekræftede, at det havde indsat nogen af disse opdateringer. Og som forskerne påpeger, er denne opdatering proces er, i sig selv, er brudt for mange, med opdateringer ofte tager måneder at sætte sammen og gøre deres vej til brugerne.