SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Предустановленное ПО Android-смартфонов полно уязвимостей

20 ноября 2019 г., среда, 22:49

Специалисты нашли десятки багов в системных утилитах и прошивках телефонов Samsung, Xiaomi, Asus и Sony.

Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннего кода и несанкционированную запись аудио. Список вендоров, на чьих телефонах обнаружены недостатки, включает в себя лидеров индустрии — Samsung, Xiaomi, Asus и Sony.

Какие уязвимости были найдены в Android-смартфонах

Объектами анализа, выполненного при помощи собственного движка Kryptowire, стали модифицированные версии Android и оригинальные программы, не входящие в стандартный пакет ОС. Под прицел экспертов попали устройства 29 производителей, представленных на американском рынке. Тестирование выявило в них 146 уязвимостей, из которых почти треть связана с эскалацией привилегий и дает возможность сторонним приложениям получить несанкционированный доступ к настройкам системы.

Большая группа багов связана с обходом границ безопасности Android. Исследователи обнаружили 34 приложения, способных установить на устройство программы сторонних разработчиков без проверки цифровой подписи. Еще 30 системных утилит допускают запуск сторонних продуктов с расширенными привилегиями, вне зависимости от имеющихся для этого разрешений. Среди других уязвимостей — возможность изменения настроек через беспроводное соединение, несанкционированная работа с микрофоном и динамическая загрузка стороннего кода.

Баги в прошивках Asus, Xiaomi и Samsung

Наибольшее количество багов — 33 — найдено в прошивках телефонов Samsung, на второй строчке устройства ASUS, в которых обнаружено 26 недостатков, на третьем месте Xiaomi с 15 уязвимостями.

Так, специалисты обнаружили и зарегистрировали следующие проблемы:

  • CVE-2019-15394— любое приложение, установленное на Asus ZenFone 5 Selfie, может взаимодействовать с компонентами программы с именем пакета com.asus.atd.smmitest и получить права на изменение настроек беспроводного соединения.
  • CVE-2019-15446— менеджер оформления телефона Samsung S7 может быть использован другими предустановленными продуктами для инсталляции сторонних программ без соответствующих разрешений.
  • CVE-2019-15475— один из модулей прошивки чипсета Qualcomm в Xiaomi Mi A3 дает возможность вредоносному приложению перехватывать работу с микрофоном и вести запись телефонных звонков.

Эксперты сообщили производителям устройств и разработчикам операционной системы о выявленных уязвимостях. В ответ представители Google заявили, что высоко ценят работу исследователей в рамках ответственного раскрытия найденных багов.

Не меньшую опасность, чем уязвимости в предустановленных утилитах, представляют баги в сторонних приложениях. В прошлом году ИБ-аналитики проверили более 300 наиболее скачиваемых программ в Google Play и нашли в них около 2000 ошибок. Проблемы различной степени опасности были выявлены в 31% протестированных продуктов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
3
Всего голосов: 7
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.054
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.