Если вы считаете, что новые смартфоны Android защищены от уязвимостей, подумайте еще раз — новый анализ, проведенный компанией по безопасности Kryptowire, выявил 146 уязвимостей уровня CVE в устройствах от 29 производителей.
Без детального изучения всех 146 из списка компании не ясно, сколько же было критических недостатков, но большинство пользователей согласились бы, что 146 только в 2019 году звучит как очень много.
Уязвимости включают изменение системных свойств (28,1%), установку приложений (23,3%), выполнение команд (20,5%) и параметры беспроводной связи (17,8%).
Помните, что эти устройства, включая смартфоны Android от Samsung и Xiaomi, никогда даже не включались, не говоря уже о том, чтобы загружать какие-то приложения — это проблемы безопасности, поставляемые с вашим новым телефоном, а не те, которые ставят под угрозу устройство во время его использования.
Виновником является ряд программ, специфичных для каждого производителя, установленных в дополнение к самому Android или его приложениям Google.
Но, как и в случае приложений Android и Google, их нельзя удалить. Единственный способ исправить эти недостатки — сообщить производителю смартфона о проблеме и выпустить исправление.
Фабрика загрязнена
Конечно, об этом говорили и раньше. В августе 2019 года исследователь Google Project Zero Мэдди Стоун (Maddie Stone) выступила в Back Hat с презентацией, посвященной проблеме вредоносного ПО, которое она и ее коллеги обнаружили на устройствах Android в цепочке поставок.
Хотя это связано с программным обеспечением, преднамеренно установленным для совершения злонамеренных действий, а не с уязвимым программным обеспечением, с точки зрения пользователя, эффект заключается в том, что они подвергаются риску, даже не осознавая этого.
В одном из примеров ботнет Chamois SMS удалось заразить 21 миллион устройств. Даже после согласованной очистки два года спустя это ПО все еще цеплялось за почти 7,4 миллиона жертв.
В чем тогда основная проблема здесь? Очевидно, что эти устройства являются частью сложных цепочек поставок аппаратного и программного обеспечения, поэтому, возможно, уязвимые или скомпрометированные устройства Android просто идут с этими проблемами.
По словам Kryptowire, чей генеральный директор Ангелос Ставру сделал важное заявление в интервью Wired:
Мы считаем, что, если вы являетесь поставщиком, вы не должны доверять кому-либо еще, чтобы иметь такой же уровень разрешений, как у вас в системе. Это не должно быть автоматической вещью.
Возможно, из этого следует, что поставщики, возможно, не должны устанавливать на устройства Android столько программного обеспечения, которое пользователи не смогут удалить . Подозрение заключается в том, что некоторое из подобного ПО устанавливаются только по коммерческим причинам, что снижает уровень безопасности устройства.
Совет: подумайте о покупке у продавца, который продает чистый или практически чистый Android (т.е. с минимумом дополнительного программного обеспечения).
Большинство производителей, у которых у Kryptowire обнаружены уязвимые устройства, являются брендами, с которыми никто за пределами Азии не столкнется. С другой стороны, непропорциональное количество недостатков было обнаружено в популярных брендах.
Несомненно, было бы полезно, если бы производители устройств Android тратили больше времени на изучение своих продуктов на предмет уязвимостей. Это случится? Хотелось бы верить!
