Mange Android-enheter leveres med firmware sårbarheter, forskere finne

0
11

Asus Avgjørende, LG og ZTE har alle lovet å patch sikkerhetshull ble funnet av mobile security fast Kryptowire, ifølge Wired. Firmaets forskning var ment å påpeke at noen sikkerhet meltdowns stammer fra kode skrevet av telefonen selskaper til å endre Android.

Forskerne fant feil i firmware av 10 separate enheter som bæres på tvers av de store Amerikanske operatører, ifølge Wired, som så en tidlig versjon av Kryptowire rapport. Sikkerhet bortfaller kan føre til alt fra å la en angriper lås noen ut av sin enhet, til å få kontroll over sin mikrofon og mye mer — selv om de fleste av angrepene som forskerne detaljert nødvendig for brukere å laste ned noen form for ondsinnet app før de kunne dra nytte av hull til stede i fastvaren. Deres forskning, finansiert av Department of Homeland Security, blir presentert i dag på Black Hat USA security conference.

I henhold til Kryptowire, disse sikkerhetsproblemene stammer fra Android åpne natur, som tillater tredjeparter å justere koden og endre forstyrrelser eller skape helt forskjellige versjoner av Android. Men, som forskerne funnet ut, åpen stil systemet kan også føre til hull i telefoner sikkerhet. Kablet sier forskningen ser på disse feilene som et problem endemisk til Android.

“Mye folk i verdikjeden vil være i stand til å legge til sine egne programmer, tilpasse, legge til sine egne torsk,” Kryptowire administrerende DIREKTØR Angelos Stavrou fortalte Kablet. “Som øker angripe overflaten, og øker sannsynligheten for software feil.”

En spesielt dårlig eksempel ble funnet i Asus Zenfone V Live smarttelefon. Ifølge Wired, Kryptowire funnet nok hull i koden sin for å utsette brukere for en fullstendig overtakelse av sin enhet — skjermbilder og video-opptak kan bli tatt av skjermen sin, og noen kunne teoretisk sett, lese og endre sine tekstmeldinger. Asus sa at det er “klar av de siste sikkerhetsinteresser”, og at det er “å arbeide hardt og raskt for å løse dem” med en oppdatering.

Viktig, LG og ZTE alle svarte til Kablet med uttalelser som de hadde fikset noen eller alle av de problemer som er identifisert av Kryptowire etter å ha blitt varslet av firmaet. Om disse lappene har blitt rullet ut til alle brukere er mindre klart, men, som bare PÅ et at&T bekreftet det hadde utplassert noen av disse oppdateringene. Og som forskerne påpeker, denne oppdateringen er, i seg selv, knust for mange, med oppdateringer ofte å ta måneder å sette sammen og gjøre veien til brukere.