Миллионы пользователей Android находятся в огромной опасности

Компания по безопасности Kryptowire, разработала механизм автоматического обнаружения уязвимостей и генерации эксплойтов. Теперь она участвует в программе исследований и разработок, в области безопасности мобильных устройств Министерства внутренней безопасности США. Kryptowire обнаружила в общей сложности 146 новых уязвимостей, влияющих на пользователей устройств Android. Одного этого числа достаточно, чтобы вздрогнуть среднему пользователю Android. Однако ситуация ухудшается тем, что эти уязвимости не требуют от пользователя загрузки вредоносного приложения. Они уже находятся на самом смартфоне, когда пользователь его приобретает. Исследование было нацелено на установленное программное обеспечение смартфонов Android. В этом следовании участвовали такие производители, как: Asus, Samsung, Sony и Xiaomi. Итоги вызывают большую обеспокоенность, так как по мнению Kryptowire, уязвимости очень трудно устранить.

Что стало известно после исследования Kryptowire?

Все дело в том, что ручное тестирование на проникновение, является обременительным и дорогостоящим, при применении в экосистеме мобильных устройств. Поэтому Kryptowire разработала автоматизированное мобильное средство обнаружения уязвимостей и создания эксплойтов. Этот инструмент не только позволяет исследователям Kryptowire сканировать прошивку устройства Android без необходимости иметь само физическое устройство в наличии, но также автоматически создает доказательство использования концепции. Это помогает с точки зрения проверки уязвимости и значительно снижает вероятность ложных срабатываний.

Исследователи Kryptowire поставили перед собой задачу, количественно оценить подверженность пользователей Android, проблеме уязвимостей в предустановленных приложениях и прошивках на устройствах. Для этого они проанализировали устройства от начального уровня, до флагманских производителей Android. В отчете говорится:
“В центре нашего внимания было выявление заранее установленных угроз для устройств Android, продаваемых операторами связи в США. Помимо всего прочего, наши результаты включают в себя устройства по всему миру”.

К таким устройствам относятся Asus ZenFone, Samsung A3, A5, A7, A8 +, J3, J4, J5, J6, J7, S7, S7 Edge, Sony Xperia Touch, Xiaomi Redmi 5, Redmi 6 Pro и Mi Note 6 и многие другие из малоизвестных моделей. По итогам исследования стало ясно, что в целом, миллионы пользователей подвержены уязвимости.

Какие уязвимости Android были раскрыты?

Так что же обнаружила компания Kryptowire, в результате сканирования многочисленных устройств? В отчете указаны разные типы уязвимостей. При этом изменение системных свойств, является наиболее распространенным и представляет 28,1% обнаруженных уязвимостей. Далее следуют: установка приложения 23,3%, выполнение команд 20,5%, изменение параметров беспроводной связи 17,8% и динамическая загрузка кода 4,1%. Согласно отчету TechCrunch, несмотря на то, что некоторые из этих уязвимостей ограничены цепочкой поставок, другие имеют более широкую область действия. Они могут быть вызваны из-за приложений, которые устанавливает сам пользователь.

Насколько опасны эти уязвимости Android?

Генеральный директор Kryptowire, Ангелос Ставру, сказал:
“Если проблема заключается в устройстве, это означает, что у пользователя нет вариантов защиты. Дело в том, что код глубоко скрыт в системе. Из-за этого в большинстве случаев пользователь не может ничего сделать, чтобы обезопасить себя.”

Это в особенности касается тех уязвимостей, которые находятся в предустановленной функциональности системного уровня. В том же отчете представитель Samsung прокомментировал:
“С момента получения уведомления от Kryptowire, мы оперативно исследовали соответствующие приложения и определили, что необходимые средства защиты, уже были установлены”.

Это утверждение относится к четырем  приложениям, которые были разработаны самой компанией Samsung. Остальные два приложения были разработаны сторонними организациями, под руководством Samsung. В общей сложности Kryptowire обнаружила около 33 уязвимостей на устройствах Samsung.

Сторонние приложения зачастую с самого начала установлены на смартфонах Android. В это число входят те, которые разрабатывают код для функциональности устройства. Ставру сказал CNET:
“Google может потребовать более тщательного анализа кода и ответственности от поставщиков за свои программные продукты, которые входят в экосистемы Android”.

Google, тем временем, использует свое собственное решение для сканирования уязвимостей встроенного ПО, под названием “Build Test Suite”. Что касается исследования Kryptowire, то Google выпустила следующее утверждение:“Мы ценим работу исследовательского сообщества, которое сотрудничает с нами, чтобы ответственно выявлять и решать такие проблемы”.

Что могут сделать сами пользователи Android?

Джейк Мур, специалист по кибербезопасности систем безопасности ESET говорит:
“В идеале люди должны иметь на своих устройствах только те приложения, которые они загрузили и установили сами. В идеально представленном мире, мы бы точно знали, что делает каждое приложение на нашем телефоне”.

Проблема с уязвимостями, обнаруженными Kryptowire, заключается в том, что они были в предустановленных приложениях и прошивках устройства. Тем не менее, Мур говорит, что:
“Лучшим способом является тот, если вы удалите любое приложение, которое не используете. В частности это относится к тем приложениям, которые очень давно вами не используются”.

Кроме того, пользователям Android остается только доверять производителям, что они смогут защитить личные данные каждого.