Các ứng dụng Android được cài đặt sẵn có thể chứa lựa chọn 146 lỗ hổng

Các nhà sản xuất phần cứng giống như 'mọi thứ đều ổn với phần mềm được cài đặt sẵn của chúng tôi'

Các nhà sản xuất phần cứng giống như 'mọi thứ đều ổn với phần mềm được cài đặt sẵn của chúng tôi'

RẤT NHIỀU ĐIỆN THOẠI ANDROID MỚI bạn đã mua … bẩm sinh tốt? Theo boffins bảo mật tại Kryptowire, nó có thể chứa một lựa chọn của 146 lỗ hổng.

Đối với một chút nền tảng, một chiếc điện thoại Android bắt đầu cuộc sống với Android nguyên chất thuần túy, sau đó các công ty như Samsung, Sony, OnePlus và các bộ phận khác của vanilla Android và chạy các ứng dụng và giao diện tùy chỉnh bên trong.

Đôi khi, điều này được thực hiện với một cú chạm nhẹ, đó là khá nhiều vanilla Android với một vài tính năng bổ sung và đôi khi nó dẫn đến một giao diện được tùy chỉnh rất nhiều như trường hợp với phần mềm TouchWiz và OneUI của Samsung.

Tùy thuộc vào cách bạn cảm nhận về các UI như vậy, bạn sẽ hài lòng với tình huống đó hoặc thực sự chỉ muốn một chiếc điện thoại Android có sẵn.

Nghiên cứu sâu về điện thoại Android từ 29 thương hiệu, các nhà nghiên cứu nhận thấy rằng các ứng dụng và dịch vụ được cài đặt sẵn được tải lên trên các lỗ hổng cơ bản của Android đã đưa vào các điện thoại đó. Gần 150 trong số các lỗ hổng này đã được tìm thấy, biểu hiện là các ứng dụng thực thi bởi các ứng dụng cục bộ hoặc bằng cách thực thi bằng các ứng dụng ‘chữ ký '.

Những lỗ hổng này có thể được khai thác để cho phép các ứng dụng thực hiện và thay đổi mọi thứ trên điện thoại mà không có kiến ​​thức của người dùng. Ví dụ: một số lỗ hổng có thể cho phép thực thi lệnh hoặc tải mã động hoặc thậm chí sửa đổi cài đặt không dây.

Trong khi các thương hiệu làm việc trên điện thoại rẻ hơn có lỗ hổng như vậy, thì điện thoại của những người chơi nặng Android cũng thích Samsung và Sony.

Vấn đề ở đây là nhiều mặt. Nó xuất phát một phần từ sự kém chất lượng tiềm tàng từ các nhà sản xuất phần cứng khi nói đến việc làm cho các ứng dụng và tính năng đi lên trên Android. Nhưng các bên thứ ba cũng cung cấp các ứng dụng và mã mà các nhà sản xuất phần cứng sử dụng để kích hoạt các tính năng nền nhất định trong điện thoại của họ. Các ứng dụng được cài đặt sẵn cũng có thể đến từ các nhà mạng viễn thông muốn cài đặt ứng dụng của họ smartphones từ các nhà sản xuất phần cứng họ có quan hệ đối tác.

Các lỗ hổng bảo mật và lỗ hổng bảo mật ảnh hưởng đến điện thoại Android không phải là mới. Nhưng rất nhiều trong số chúng đến từ hoạt động của người dùng tải xuống các ứng dụng tinh ranh hoặc phần mềm tải phụ từ bên ngoài Cửa hàng Play của Google. Tuy nhiên, trách nhiệm cho điều đó cuối cùng rơi vào vai người dùng; không nên có các thiết bị có lỗ hổng được cài đặt sẵn một cách hiệu quả.

Kryptowire có một giải pháp cho vấn đề này là nó có một công cụ quét phần mềm tự động để nấu các cuộc tấn công bằng chứng khái niệm và bắn chúng vào phần mềm được cài đặt sẵn trên điện thoại. Đó là tất cả tốt và tốt, nhưng nó không chính xác giúp xây dựng niềm tin vào các nhà sản xuất phần cứng.

Sau đó, một lần nữa, có rất nhiều thiết bị Android phát triển từ các nhà cung cấp thuộc mọi quy mô, do đó, việc mong đợi một công ty khởi nghiệp thiếu tiền mặt có tài nguyên để cam kết quét phần sụn sâu có lẽ là không thực tế.

Giám đốc điều hành của Kryptowire, Angelos Stavrou lưu ý rằng các nhà sản xuất phần cứng Android như vậy có một chút khó khăn khi đảm bảo tất cả các phần mềm trên thiết bị của họ đều sạch khỏi các mạng không gian mạng.

"Hệ sinh thái liên quan đến hàng trăm nhà cung cấp không nhất thiết phải hợp tác với nhau hoặc có bất kỳ quy trình nào để đảm bảo chất lượng. Hoặc họ có thể, nhưng một số trong số họ có nhiều hơn những nhà cung cấp khác", ông Stavrou nói với Wired. "Và trong cuộc đua tạo ra các thiết bị giá rẻ, tôi tin rằng chất lượng phần mềm đang bị xói mòn theo cách phơi bày người dùng cuối."

Stavrou đề nghị các nhà cung cấp phần cứng không nên tin tưởng bất kỳ ai khác có cùng cấp quyền trong hệ thống điện thoại của họ.

Nếu bạn đang tìm kiếm một giải pháp cho vấn đề này, thì bạn đã đến nhầm chỗ, vì thực sự không có ai để người dùng cuối khai thác. Nhận thức được những gì bạn tải xuống và người bạn cung cấp điện thoại của bạn chắc chắn sẽ giúp giảm thiểu việc khai thác các lỗ hổng bảo mật này. Nhưng bên cạnh đó, bạn thực sự cảm thấy xót xa cho sự siêng năng của nhà sản xuất phần cứng.

Google có Build Test Suite để kiểm tra xem phần mềm được tải sẵn không có khả năng gây hại. Nhưng nghiên cứu của Kryptowire chỉ ra rằng cần phải thực hiện nhiều hơn nữa để phát hiện ra những mối nguy hiểm kỹ thuật số mà một số điện thoại có thể đi ra khỏi hộp. Củ cải