Прошивки и приложения в десятках популярных Android-смартфонах, выпускаемых LG, Asus, Essential, ZTE, Sony и другими компаниями, изначально содержат в себе критические уязвимости. Как выяснили эксперты по кибербезопасности из Kryptowire, серьезным ошибкам подвержены не только бюджетные устройства, но и модели крупных брендов, такие как LG G6, Nokia 6, ASUS ZenFone 3 Max и Sony Xperia L1.
По вине производителей против Android-смартфона может быть проведена атака различной "степени тяжести": от создания скриншотов экрана и перехвата нажатий клавиш до полного захвата гаджета и получения к нему root-доступа. Доклад Kryptowire, подготовленный при финансовой поддержке министерства внутренней безопасности США, был зачитан на конференции Black Hat в Лас-Вегасе.
Наличие "дыр" обусловлено открытой природой Android, которая позволяет третьим лицам модифицировать код, изменять поведение системы и даже создавать совершенно отдельные версии ОС. В результате в прошивках и приложениях, которые предустанавливаются на смартфоны, по недосмотру могут быть допущены критические ошибки, пишет Wired.
"Многие люди в цепочке поставок хотят добавлять свои собственные приложения, изменения и код, — объяснил глава Kryptowire Ангелос Ставру. — Это приводит к увеличению поверхности атаки, увеличению вероятности допущения программной ошибки".
По словам исследователей, особо опасная ошибка была найдена в Asus Zenfone V Live. В его системе Kryptowire обнаружила прореху, позволяющую злоумышленникам шпионить за пользователями, а также читать и менять текст передаваемых сообщений. В Asus заявляют, что "в курсе недавних проблем с безопасностью" и работают над их устранением.
Представители Essential, LG и ZTE сообщили, что уже исправили некоторые ошибки, после того, как о них сообщила Kryptowire.
