De nombreux appareils Android navire avec le firmware vulnérabilités, les chercheurs à trouver des

0
27

Asus, Essentiel, LG et ZTE ont tous juré de patcher les failles de sécurité découvertes par les mobiles de la firme de sécurité Kryptowire, selon Wired. La firme de recherche visait à souligner que certaines de sécurité des crises de souches à partir de code écrit par les compagnies de téléphone à modifier Android.

Les chercheurs ont trouvé des bugs dans le firmware de 10 appareils séparés réalisée à travers les grands transporteurs Américains, selon Wired, qui a vu une première version de Kryptowire du rapport. Les défaillances de sécurité pourrait entraîner tout au fait de permettre à un attaquant de verrouillage quelqu’un leurs appareils, pour garder le contrôle sur leurs microphone et de plus, même si la plupart des attaques que les chercheurs détaillées nécessaires aux utilisateurs de télécharger une sorte d’application malveillante avant qu’ils puissent tirer parti des trous présents dans le firmware. Leur projet de recherche, financé par le Ministère de la Sécurité intérieure, qui est présenté aujourd’hui lors de la Black Hat USA conférence sur la sécurité.

Selon Kryptowire, ces vulnérabilités souches à partir d’Android de nature ouverte, qui permet à des tiers de modifier le code et de modifier les interférences ou de créer complètement différentes versions d’Android. Cependant, les chercheurs ont découvert, ce style de système peut également entraîner des lacunes dans les téléphones de sécurité. Filaire dit que la recherche s’intéresse à ces défauts comme un problème endémique de Android.

“Beaucoup de gens dans la chaîne d’approvisionnement voulez être en mesure d’ajouter leurs propres applications, personnaliser, ajouter leurs propres cod,” Kryptowire chef de la direction Angelos Stavrou dit Filaire. “Qui augmente la surface d’attaque et augmente la probabilité d’erreur de logiciel.”

Un particulièrement mauvais exemple a été trouvé dans les Asus Zenfone V Live smartphone. Selon Wired, Kryptowire trouvé assez de trous dans son code d’exposer les utilisateurs à une reprise complète de leur appareil — captures d’écran et des enregistrements vidéo pourrait être prise de l’écran, et quelqu’un pourrait, théoriquement, de lire et de modifier leur des messages texte. Asus a dit qu’il est “conscient de la récente préoccupations en matière de sécurité” et qu’il “travaille avec diligence et rapidité pour les résoudre” avec un patch.

Essentiel, LG et ZTE ont tous répondu Câblé avec des déclarations disant qu’ils avaient correction de certains ou de tous les problèmes identifiés par Kryptowire après avoir été alerté par la firme. Si ces patchs ont été mis en place à tous les utilisateurs est moins clair, cependant, que seulement AT&T a confirmé qu’elle avait déployé une de ces mises à jour. Et comme les chercheurs font remarquer, ce processus de mise à jour est, elle-même, brisé pour beaucoup, avec des mises à jour souvent prendre des mois pour mettre ensemble et faire leur chemin vers les utilisateurs.