Τις ατέλειες ασφαλείας που βρέθηκαν που εντόπισε η εταιρεία ασφαλείας Kryptowire υποσχέθηκαν πως θα καλύψουν οι Asus, Essential, LG και η ZTE. Μέσα στην έρευνα αναφέρθηκε πως διάφορα κενά ασφαλείας οφείλονται στον κώδικα που έχουν γράψει οι εν λόγω κατασκευαστές για την τροποποίηση του Andorid.
Οι ερευνητές βρήκαν σφάλματα στο υλικο-λογισμικό 10 διαφορετικών συσκευών που κυκλοφορούν μέσω των μεγάλων παρόχων της Αμερικής σύμφωνα με την Wired, η οποία είδε μια πρόωρη έκδοση του Kryptowire. Οι παραβιάσεις αυτές ασφαλείας θα μπορούσαν να αφήσουν τον εισβολέα να κλειδώσει την συσκευή κάποιοι ανυποψίαστου χρήστη, να πάρει τον έλεγχο του μικροφώνου τους και πολλά άλλα, αν και οι περισσότερες από τις επιθέσεις ζητούσαν πρώτα να κατεβάσουν κάποιο κακόβουλο app πριν χρησιμοποιήσουν αυτές τις τρύπες που υπάρχουν. Η έρευνά τους, που χρηματοδοτείται από το Υπουργείο Εσωτερικής Ασφάλειας, παρουσιάστηκε στη διάσκεψη ασφάλειας Black Hat των ΗΠΑ.
Σύμφωνα με την Kryptowire, αυτά τα τρωτά σημεία προέρχονται από την ανοικτή φύση του Android, η οποία επιτρέπει σε τρίτους να τροποποιήσουν τον κώδικα και να τροποποιήσουν τις παρεμβολές ή να δημιουργήσουν τελείως διαφορετικές εκδόσεις του Android. Ωστόσο, όπως διαπίστωσαν οι ερευνητές, αυτό το σύστημα ανοιχτού τύπου μπορεί επίσης να οδηγήσει σε κενά στην ασφάλεια των τηλεφώνων. Η Wired αναφέρει ότι η έρευνα εξετάζει αυτές τις ατέλειες ως ένα εκ φύσεως πρόβλημα στο Android.
“Πολλοί άνθρωποι στην αλυσίδα εφοδιασμού θέλουν να μπορούν να προσθέτουν τις δικές τους εφαρμογές, να προσαρμόζουν και να προσθέτουν δικό τους περιβάλλον”, δήλωσε ο διευθύνων σύμβουλος της Kryptowire, Άγγελος Σταύρου, στο Wired. “Αυτό αυξάνει την πιθανότητα επίθεσης και αυξάνει την πιθανότητα σφάλματος λογισμικού.”
Ένα ιδιαίτερα κακό παράδειγμα βρέθηκε στο smartphone Asus Zenfone V Live. Σύμφωνα με την Wired, η Kryptowire βρήκε αρκετές τρύπες στον κώδικα της συσκευής. Η Asus δήλωσε ότι “έχει επίγνωση των πρόσφατων ανησυχιών για την ασφάλεια” και “εργάζεται επιμελώς και ταχέως για να τα επιλύσει όλα” μάλλον μέσω ενός update.
H Essential, η LG και η ZTE απάντησαν όλοι στο Wired με δηλώσεις που ανέφεραν ότι είχαν διορθώσει ορισμένα ή όλα τα προβλήματα που εντοπίστηκαν από την Kryptowire μετά την ειδοποίησή της. Το αν οι ενημερωμένες εκδόσεις έχουν φθάσει σε όλους τους χρήστες είναι λιγότερο σαφές, καθώς μόνο η AT & T επιβεβαίωσε ότι είχε αναπτύξει οποιαδήποτε από αυτές τις ενημερώσεις. Και όπως επισημαίνουν οι ερευνητές, αυτή η διαδικασία ενημέρωσης παραβιάζεται για πολλούς, με τις ενημερώσεις να παίρνουν συχνά μήνες για να και να παραδοθούν στους χρήστες.
[via]