SOS :: Security Operation Space
9 декабря, понедельник, 00:00
|
Hot News:

Предустановленное ПО Android-смартфонов полно уязвимостей

20 ноября 2019 г., среда, 22:49

Специалисты нашли десятки багов в системных утилитах и прошивках телефонов Samsung, Xiaomi, Asus и Sony.

Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннего кода и несанкционированную запись аудио. Список вендоров, на чьих телефонах обнаружены недостатки, включает в себя лидеров индустрии — Samsung, Xiaomi, Asus и Sony.

Какие уязвимости были найдены в Android-смартфонах

Объектами анализа, выполненного при помощи собственного движка Kryptowire, стали модифицированные версии Android и оригинальные программы, не входящие в стандартный пакет ОС. Под прицел экспертов попали устройства 29 производителей, представленных на американском рынке. Тестирование выявило в них 146 уязвимостей, из которых почти треть связана с эскалацией привилегий и дает возможность сторонним приложениям получить несанкционированный доступ к настройкам системы.

Большая группа багов связана с обходом границ безопасности Android. Исследователи обнаружили 34 приложения, способных установить на устройство программы сторонних разработчиков без проверки цифровой подписи. Еще 30 системных утилит допускают запуск сторонних продуктов с расширенными привилегиями, вне зависимости от имеющихся для этого разрешений. Среди других уязвимостей — возможность изменения настроек через беспроводное соединение, несанкционированная работа с микрофоном и динамическая загрузка стороннего кода.

Баги в прошивках Asus, Xiaomi и Samsung

Наибольшее количество багов — 33 — найдено в прошивках телефонов Samsung, на второй строчке устройства ASUS, в которых обнаружено 26 недостатков, на третьем месте Xiaomi с 15 уязвимостями.

Так, специалисты обнаружили и зарегистрировали следующие проблемы:

  • CVE-2019-15394— любое приложение, установленное на Asus ZenFone 5 Selfie, может взаимодействовать с компонентами программы с именем пакета com.asus.atd.smmitest и получить права на изменение настроек беспроводного соединения.
  • CVE-2019-15446— менеджер оформления телефона Samsung S7 может быть использован другими предустановленными продуктами для инсталляции сторонних программ без соответствующих разрешений.
  • CVE-2019-15475— один из модулей прошивки чипсета Qualcomm в Xiaomi Mi A3 дает возможность вредоносному приложению перехватывать работу с микрофоном и вести запись телефонных звонков.

Эксперты сообщили производителям устройств и разработчикам операционной системы о выявленных уязвимостях. В ответ представители Google заявили, что высоко ценят работу исследователей в рамках ответственного раскрытия найденных багов.

Не меньшую опасность, чем уязвимости в предустановленных утилитах, представляют баги в сторонних приложениях. В прошлом году ИБ-аналитики проверили более 300 наиболее скачиваемых программ в Google Play и нашли в них около 2000 ошибок. Проблемы различной степени опасности были выявлены в 31% протестированных продуктов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:59
16:26
16:06
15:15
14:15
12:15
11:15
10:15
07:15
06:15
05:37
04:28
17:15
16:15
16:15
14:49
13:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.307
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.