Dacă ați cumpărat vreodată un Android cu gamă mică sau medie telefon, există șanse mari să îl porniți pentru a găsi că este preîncărcat cu gunoi pe care nu l-ați solicitat cu siguranță.

Aceste aplicații preinstalate pot fi greoaie, enervante pentru a fi eliminate, rareori actualizate … și, se pare, pline de gauri de securitate.

Firma de securitate Kryptowire a construit un instrument pentru scanarea automată a unui număr mare de dispozitive Android pentru semne de deficiențe de securitate și, într-un studiu finanțat de Departamentul de Securitate Interioară al SUA, l-a difuzat pe telefoane de la 29 de furnizori diferiți. Acum, majoritatea acestor vânzători sunt cele despre care majoritatea oamenilor nu au auzit niciodată – dar câteva nume mari precum Asus, Samsung și Sony fac apariții.

Kryptowire spune că au găsit vulnerabilități din toate soiurile diferite, de la aplicații care pot fi forțate să instaleze alte aplicații, la instrumente care pot fi păcălite în înregistrarea audio, la cele care pot fi încurcate în liniște cu setările sistemului. Unele dintre vulnerabilități pot fi declanșate doar de alte aplicații care sunt preinstalate (limitând astfel vectorul de atac la cele de-a lungul lanțului de aprovizionare); alții, între timp, pot fi declanșate de orice aplicație pe care utilizatorul ar putea să o instaleze pe drum.

Kryptowire are aici o listă completă a vulnerabilităților observate, defalcate după tip și producător. Firma spune că a găsit 146 de vulnerabilități în toate.

După cum subliniază Wired, Google cunoaște bine această posibilă rută de atac. În 2018, a lansat un program numit Build Test Suite (sau „BTS”) pe care trebuie să le treacă toate OEM-urile partenere. BTS scanează firmware-ul unui dispozitiv pentru orice probleme de securitate cunoscute ascunse printre aplicațiile sale preinstalate, marcând aceste aplicații proaste ca „Aplicații potențial dăunătoare” (sau „PHA”). Ca Google îl prezintă în raportul său de securitate Android din 2018:

OEM-urile prezintă imaginile de construire noi sau actualizate la BTS. BTS execută apoi o serie de teste care caută probleme de securitate pe imaginea sistemului. Unul dintre aceste teste de securitate scanează PHA-urile preinstalate incluse în imaginea sistemului. Dacă găsim un PHA în curs de dezvoltare, lucrăm cu partenerul OEM pentru remedierea și eliminarea PHA-ului din compilare înainte de a putea fi oferit utilizatorilor.

Pe parcursul primului său an calendaristic, BTS a împiedicat 242 de build-uri cu PHA-uri să intre în ecosistem.

Oricând BTS detectează o problemă în care colaborăm cu partenerii noștri OEM pentru remedierea și înțelegerea modului în care aplicația a fost inclusă în construcție. Această muncă în echipă ne-a permis identificarea și atenuarea amenințărilor sistemice pentru ecosistem.

Din păcate, un sistem automat nu poate prinde totul – și atunci când o problemă se strecoară, nu există siguranța că va ajunge vreodată o corecție sau o soluție (în special pe dispozitivele inferioare, unde suportul pe termen lung tinde să fie limitat.)

Am contactat Google pentru comentarii asupra raportului, dar încă nu am auzit.

Sursa articol

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here