Android-смартфони уразливі вже з коробки

402

Відкрита операційна система Android від Google з давніх пір сприйнятлива до стороннього втручання. У цьому році на щорічній конференції з безпеки Black Hat в Лас-Вегасі дослідники з компанії з питань мобільного безпеки Kryptowire виявили суттєві уразливості в 10 різних смартфонах на базі Android. Всі потенційно небезпечні пристрої реалізуються в США через мобільних операторів.

«Ці уразливості є результатом політики Android, яка дозволяє стороннім розробникам модифікувати код операційної системи», – повідомляє видавництво The Wired. «З одного боку, маніпуляції з кодом дозволяють реалізовувати унікальні твіки. Але з іншого, вони викликають затримки з оновленнями, а також дають зловмисникам можливість проводити зі смартфоном непомітні махінації».

Вирішити цю проблему найближчим часом, швидше за все, не вдасться. Генеральний директор Kryptowire, Анджелос Ставроу, стверджує, що багато розробники смартфонів хочуть встановлювати на пристрій свої фірмові програми і додавати свій власний код. Це збільшує ймовірність програмних помилок, а також робить пристрій вразливим до хакерських атак. Так що в кінцевому результаті недобросовісні виробники піддають своїх клієнтів серйозним ризикам.

У звіті Kryptowire немає оцінок якихось конкретних виробників. Замість цього фахівці критикують всю екосистему Android. Втім, один потенційно небезпечний смартфон Kryptowire все-таки згадує: це бюджетник Asus ZenFone V Live. Згідно з висновками експертів, через його стоковий прошивку третя сторона може непомітно здійснювати такі дії, як зняття скріншотів екрану, відеозапис, зміна текстових повідомлень і т.п.

Для установки Android-додатків Kryptowire настійно рекомендує використовувати тільки магазин Google Play і уникати сторонніх джерел. Після того, як результати дослідження були оприлюднені, кілька мобільних виробників випустили позапланові патчів, що закривають уразливості в системі. Серед них Essential і LG. Китайська компанія ZTE, заборонена в США, заявила, що працює зі своїми партнерами для забезпечення якісних оновлень в майбутньому.

Джерело: http://ipguard.org.ua/