В новом подробном отчете компания по кибербезопасности Kryptowire рассказала о 146 различных уязвимостях в Android-устройствах от 29 различных производителей, включая Samsung, Asus, Xiaomi и Sony. Компания Kryptowire обнаружила это с помощью своих собственных средств автоматического сканирования прошивки, и большинство производителей родом из Азии.
Хуже всего в этих уязвимостях то, что каждое из них присутствует на устройствах из коробки. Это означает, что пользователи не могут ничего сделать для смягчения этих проблем при покупке одного из этих смартфонов.
Эти уязвимости Android охватывают широкий спектр возможных эксплойтов. Некоторые из них включают несанкционированную аудиозапись и возможность изменять определенные настройки системы. Некоторые из них существуют из-за приложений, предустановленных в системе, в то время как другие нашли свое место глубоко внутри прошивки устройства.
Kryptowire начала уведомлять Google и производителей этим летом. Но не все производители согласны с тем, что выводы исследования так важны. После того, как Kryptowire проинформировал Samsung, он начал расследование этой проблемы и считает, что соответствующая защита уже установлена. Kryptowire не согласен с утверждениями Samsung и говорит, что сторонние субъекты могут по-прежнему получать доступ к личной информации на устройстве без авторизации пользователя.
Google уже предпринял шаги по устранению многих ошибок, предустановленных на устройствах Android. Но независимо от того, насколько усердно Google работает над устранением подобных уязвимостей в Android, они никогда не исчезнут, если OEM-производители не будут работать над их предотвращением.
Хотя большинство производителей работают в Азии, многие из этих компаний поставляют смартфоны по всему миру. Большинство смартфонов в списке относятся к устройствам среднего класса, включая Xiaomi Redmi Note 6 Pro, Sony Xperia XZs и Samsung Galaxy A8 Plus. Исполнительный директор Kryptowire Ангелос Ставру считает, что эти уязвимости появляются на устройствах, когда OEM-производители гонятся за прибылью, а не за обеспечением безопасности.
«В погоне за созданием дешевых устройств, как я считаю, качество программного обеспечения ухудшается таким образом, что это подвергает риску конечного пользователя», — говорит Ставру.