Исследовательская компания Kryptowire провела исследование при финансовой поддержке Министерства внутренней безопасности США. Оно позволило обнаружить в смартфонах крупнейших недорогих брендов встроенное прямо в прошивку потенциально вредоносное ПО и множество уязвимостей.
Предустановленные приложения часто представляют собой небольшие, не имеющие бренда компоненты стороннего программного обеспечения, встроенные в функции более крупных фирменных приложений производителя.
ПО, позволяющее красть данные пользователей и шпионить за ними, нашли в смартфонах Xiaomi, Samsung, BQ (российский бюджетный бренд) и Dexp (дочерний бренд DNS).
Исследователи отмечают, что удалить такие программы невозможно.
Всего же в телефонах 29 производителей нашли 146 уязвимостей.
Samsung, Asus, Xiaomi, Lava и Tecno оказались в топе-5 по числу уязвимостей.
«Опасные» модели Samsung: J5, J6, J7, J7 Neo, J7 Duo и J7 Pro.
Xiaomi: Redmi 5, Redmi 6 Pro, Mi 5S Plus, Mi Mix, Mi Note 2, Mi Mix 2S, Mi A2 Lite, Redmi Note 6 Pro и Mi A3, планшет Mi Pad 4.
Asus: ZenFone Live, ZenFone 5 Selfie, ZenFone 3s Max, ZenFone 3, ZenFone Max 4, ZenFone 4 Selfie, ZenFone 5Q, ZenFone 3 Ultra, ZenFone 3 Laser и некоторые другие.
У BQ «отличился» смартфон 5515L Fast. У Dexp — Z250 и BL250.
В списке также присутствуют Adwan, Allview, Archos, Blackview, Bluboo, Cherry, Coolpad, Cubot, Doogee, Elephone, Evercross, Fly, Haier, Hisense, Infinix, Kata, Lava, Panasonic, Sony, Symphony, Ulefone и Walton. Его дополнили смартфоны марок Alcatel, Asus, Coolpad, Essential, Leagoo, LG, MXQ, Nokia, Oppo, Orbic, Plum, Sky, Sony, Vivo и ZTE. Интересно, что Essential основал сам Энди Рубин, создатель ОС Android. На устройствах его компании ПО позволяет удаленно сбрасывать смартфон к заводским настройкам с потерей всех личных данных.
В целом, на всех смартфонах нашли уязвимости разного рода. Так, ПО на устройствах от Samsung позволяют третьим лицам удаленно устанавливать на них какие угодно приложения. Уязвимости в других смартфонах дают возможность менять настройки системы и беспроводной связи, запускать определенные команды и прослушивать пользователя через встроенный микрофон (Mi A3 и Mi A2 Lite производства Xiaomi без предустановленной прошивки MIUI). На устройствах BQ и Dexp баг в системном приложении com.mediatek.wfo.impl открывает доступ к несанкционированной модификации настроек самой системы.
Данную проблему невозможно решить стандартными методами, отмечают авторы исследования. Чтобы добраться до приложений, встроенных в прошивку еще на заводе, нужны Root-права и разблокированный загрузчик (bootloader). Но даже при получении таких прав удаление ПО не всегда возможно, так как от него может зависеть стабильная работа самой операционной системы. «В случае если проблема кроется в самом устройстве, у пользователя попросту нет никаких вариантов устранения проблемы. Штатное ПО является частью прошивки, и на фоне этого у владельца гаджета нет никакой возможности избавиться от вредоносной программы», — заявил руководитель Kryptowire Ангелос Ставру .
См. также: « ТОП-3 инноваторов средств тестирования безопасности мобильного ПО »
Таким образом, проблему может решить лишь сам производитель путем выпуска свежей версии ОС, не содержащей эти программы. Но и это маловероятно — большинство поддерживают смартфоны крайне недолгое время после релиза, а иногда и вовсе не выпускают новые прошивки для них.
В 2018 году исследователи из Kryptowire проверили 25 моделей Android-смартфонов и нашли в них 47 уязвимостей . После этого Google запустила свой Test Suite , который частично предназначен для решения этих типов проблем.
В презентации Black Hat 2019 исследователь безопасности Google Мэдди Стоун сказала, что на устройстве Android можно насчитать от 100 до 400 предустановленных приложений . По словам Стоун, хакерам «нужно только убедить одну компанию включить приложение, а не тысячи пользователей».
«Google может потребовать более тщательного анализа кода и ответственности поставщиков за свои программные продукты, которые входят в экосистемы Android. Законодатели и политики должны требовать, чтобы компании несли ответственность за то, чтобы подвергать риску безопасность и личную информацию конечных пользователей», — считает Ставру.
В Google отреагировали на исследование: «Мы ценим работу исследовательского сообщества, которое сотрудничает с нами, чтобы ответственно решать и раскрывать такие проблемы».
В октябре компания устранила уязвимость CVE-2019-2114 . Злоумышленники могли использовать ее для распространения вредоносного программного обеспечения между устройствами на Android, находящимися недалеко друг от друга. Проблема заключалась в некорректной работе функции NFC Beaming в режиме «Android beam: enabled», которая позволяла передавать по NFC на другое устройство APK-файлы приложений. Причем сам сервис Android Beam для операционный системы по уровню доверия был в белом списке, а передаваемые файлы воспринимались так же, как приложения из Google Play Store. Данной уязвимости были подвержены все устройства на базе Android Oreo (8.0) и более поздних версий.)
Предустановленные приложения часто представляют собой небольшие, не имеющие бренда компоненты стороннего программного обеспечения, встроенные в функции более крупных фирменных приложений производителя.
ПО, позволяющее красть данные пользователей и шпионить за ними, нашли в смартфонах Xiaomi, Samsung, BQ (российский бюджетный бренд) и Dexp (дочерний бренд DNS).
Исследователи отмечают, что удалить такие программы невозможно.
Всего же в телефонах 29 производителей нашли 146 уязвимостей.
Samsung, Asus, Xiaomi, Lava и Tecno оказались в топе-5 по числу уязвимостей.
«Опасные» модели Samsung: J5, J6, J7, J7 Neo, J7 Duo и J7 Pro.
Xiaomi: Redmi 5, Redmi 6 Pro, Mi 5S Plus, Mi Mix, Mi Note 2, Mi Mix 2S, Mi A2 Lite, Redmi Note 6 Pro и Mi A3, планшет Mi Pad 4.
Asus: ZenFone Live, ZenFone 5 Selfie, ZenFone 3s Max, ZenFone 3, ZenFone Max 4, ZenFone 4 Selfie, ZenFone 5Q, ZenFone 3 Ultra, ZenFone 3 Laser и некоторые другие.
У BQ «отличился» смартфон 5515L Fast. У Dexp — Z250 и BL250.
В списке также присутствуют Adwan, Allview, Archos, Blackview, Bluboo, Cherry, Coolpad, Cubot, Doogee, Elephone, Evercross, Fly, Haier, Hisense, Infinix, Kata, Lava, Panasonic, Sony, Symphony, Ulefone и Walton. Его дополнили смартфоны марок Alcatel, Asus, Coolpad, Essential, Leagoo, LG, MXQ, Nokia, Oppo, Orbic, Plum, Sky, Sony, Vivo и ZTE. Интересно, что Essential основал сам Энди Рубин, создатель ОС Android. На устройствах его компании ПО позволяет удаленно сбрасывать смартфон к заводским настройкам с потерей всех личных данных.
В целом, на всех смартфонах нашли уязвимости разного рода. Так, ПО на устройствах от Samsung позволяют третьим лицам удаленно устанавливать на них какие угодно приложения. Уязвимости в других смартфонах дают возможность менять настройки системы и беспроводной связи, запускать определенные команды и прослушивать пользователя через встроенный микрофон (Mi A3 и Mi A2 Lite производства Xiaomi без предустановленной прошивки MIUI). На устройствах BQ и Dexp баг в системном приложении com.mediatek.wfo.impl открывает доступ к несанкционированной модификации настроек самой системы.
Данную проблему невозможно решить стандартными методами, отмечают авторы исследования. Чтобы добраться до приложений, встроенных в прошивку еще на заводе, нужны Root-права и разблокированный загрузчик (bootloader). Но даже при получении таких прав удаление ПО не всегда возможно, так как от него может зависеть стабильная работа самой операционной системы. «В случае если проблема кроется в самом устройстве, у пользователя попросту нет никаких вариантов устранения проблемы. Штатное ПО является частью прошивки, и на фоне этого у владельца гаджета нет никакой возможности избавиться от вредоносной программы», — заявил руководитель Kryptowire Ангелос Ставру .
См. также: « ТОП-3 инноваторов средств тестирования безопасности мобильного ПО »
Таким образом, проблему может решить лишь сам производитель путем выпуска свежей версии ОС, не содержащей эти программы. Но и это маловероятно — большинство поддерживают смартфоны крайне недолгое время после релиза, а иногда и вовсе не выпускают новые прошивки для них.
В 2018 году исследователи из Kryptowire проверили 25 моделей Android-смартфонов и нашли в них 47 уязвимостей . После этого Google запустила свой Test Suite , который частично предназначен для решения этих типов проблем.
В презентации Black Hat 2019 исследователь безопасности Google Мэдди Стоун сказала, что на устройстве Android можно насчитать от 100 до 400 предустановленных приложений . По словам Стоун, хакерам «нужно только убедить одну компанию включить приложение, а не тысячи пользователей».
«Google может потребовать более тщательного анализа кода и ответственности поставщиков за свои программные продукты, которые входят в экосистемы Android. Законодатели и политики должны требовать, чтобы компании несли ответственность за то, чтобы подвергать риску безопасность и личную информацию конечных пользователей», — считает Ставру.
В Google отреагировали на исследование: «Мы ценим работу исследовательского сообщества, которое сотрудничает с нами, чтобы ответственно решать и раскрывать такие проблемы».
В октябре компания устранила уязвимость CVE-2019-2114 . Злоумышленники могли использовать ее для распространения вредоносного программного обеспечения между устройствами на Android, находящимися недалеко друг от друга. Проблема заключалась в некорректной работе функции NFC Beaming в режиме «Android beam: enabled», которая позволяла передавать по NFC на другое устройство APK-файлы приложений. Причем сам сервис Android Beam для операционный системы по уровню доверия был в белом списке, а передаваемые файлы воспринимались так же, как приложения из Google Play Store. Данной уязвимости были подвержены все устройства на базе Android Oreo (8.0) и более поздних версий.)