Американская исследовательская компания Kryptowire, занимающаяся вопросами безопасности мобильных технологий, обнаружила критические уязвимости в прошивках некоторых смартфонов Asus, Essential, LG и ZTE.
Как сообщает издание Wired, устройства поставлялись крупнейшими американскими операторами сотовой связи. Обнаруженная дыра в безопасности могла привести к тому, что злоумышленники получали контроль над смартфоном. Хотя большинство потенциальных атак, которые были изучены специалистами Kryptowire, всё же предусматривали установку пользователями вредоносного приложения, чтобы воспользоваться уязвимостью. Данное исследование финансировалось Министерством внутренней безопасности США и было представлено на конференции Black Hat.
Согласно предоставленному отчёту, уязвимости связаны с открытой природой ОС Android, которая позволяет третьим лицам менять и настраивать код по своему усмотрению и создавать совершенно разные версии Android. Эта особенность является преимуществом мобильной системы и одновременно её недостатком.
«Большинство компаний в цепочке поставок предпочитают предустанавливать собственные приложения, настраивать систему, добавлять свои код, — сказал исполнительный директор Kryptowire Ангелос Ставру (Angelos Stavrou). — Это увеличивает распространённость потенциальной атаки, а также вероятность ошибок в программном обеспечении».
В качестве примера, исследователи Kryptowire взяли смартфон Asus Zenfone V Live, поставляемый оператором Verizon. В коде прошивки этого аппарата обнаружено множество уязвимостей, которые позволяют злоумышленникам полностью контролировать устройство: делать скриншоты и записывать видео с экрана, читать и отправлять сообщения и так далее.
Компания Asus признала ошибки и пообещала в кратчайшие сроки их исправить. В свою очередь Essential, LG и ZTE выпустили заявления, что уже частично или полностью решили проблемы, выявленные Kryptowire. Однако загвоздка в том, что операторам ещё предстоит подготовить свои прошивки с патчами, а на это могут уйти месяцы.