Όταν αγοράζεις ένα νέο Android smartphone, σπάνια έχει στο εσωτερικό του pure Android. Οι κατασκευαστές βάζουν στο εσωτερικό τους τις δικές τους εφαρμογές, όπως και οι πάροχοι. Όμως αυτή η πρακτική ενέχει ιδιαίτερους κινδύνους, καθώς μαζί με τις εφαρμογές βρίσκονται στη συσκευή και ευπάθειες, ακόμη και πριν το βγάλεις από το κουτί. Και η απόδειξη όλων των παραπάνω είναι οι 146 διαφορετικές ευπάθειες που ανακαλύφθηκαν σε 29 διαφορετικούς Android κατασκευαστές.

Το Galaxy S7 μια από τις συσκευές της Samsung με ευπάθειες.

 

Ναι σωστά διαβάσατε, 146 διαφορετικές ευπάθειες, οι οποίες όλες ανακοινώθηκαν από την εταιρεία ασφαλείας Kryptowire και αναλύονται διεξοδικά σε ένα γιγαντιαίο ποστ. Οι περισσότερες εταιρείες που αναφέρονται προέρχονται από την Ασία, αλλά περιλαμβάνει και βαριά ονόματα του χώρου, όπως η Samsung και η Asus. Οι ευπάθειες που ανακαλύφθηκαν στην έρευνα, η οποία χρηματοδοτήθηκε από την Υπηρεσία Εσωτερικής Ασφαλείας των ΗΠΑ, περιλαμβάνουν τα πάντα, από εγγραφή ήχου εν αγνοία των χρηστών, μέχρι και την διενέργεια commands με στόχο την τροποποίηση των system properties.

θελήσαμε να κατανοήσουμε πόσο εύκολο είναι για κάποιον να μπορέσει να διεισδύσει στη συσκευή χωρίς ο χρήστης να κατεβάσει μια εφαρμογή, αναφέρει ο CEO της Kryptowire Angelos Stavrou. Αν το πρόβλημα οφείλεται στη συσκευή, αυτό σημαίνει ότι ο χρήστης δεν έχει επιλογές. Επειδή ο κώδικας βρίσκεται θαμμένος εντός του συστήματος, στις περισσότερες περιπτώσεις ο χρήστης δεν μπορεί να κάνει τίποτα για να αφαιρέσει την εν λόγω ευπάθεια. 

Είναι εντελώς διαφορετικό πράγμα, το πρόσφατο fake Fortinite app. Σε αυτήν την περίπτωση, πρόκειται για επιλογή δική σου και μπορείς να την απεγκαταστήσεις. Οι ευπάθειες που η Kryptowire ανακάλυψε είναι συχνά προεγκατεστημένες σε επίπεδο συστήματος και χωρίς τη δυνατότητα να τις διώξεις από τη συσκευή. Σε μια προσπάθεια να δημιουργήσουν φθηνές συσκευές, θεωρώ ότι η ποιότητα του λογισμικού παραμελείται με τέτοιον τρόπο που εκθέτει τον χρήστη, αναφέρει ο CEO της Kryptowire, Angelos Stavrou.

Αν όλα αυτά σας ακούγονται γνώριμα, είναι γιατί η Kryptowire και παλαιότερα και πιο συγκεκριμένα λίγο πριν από ένα χρόνο, δημοσίευσε τα αποτελέσματα της έρευνάς της που μιλούσαν για ίδιου τύπου ευπάθειες που βρίσκονταν σε 10 δημοφιλείς συσκευές. Η διαφορά τώρα και ο λόγος που η εργασία είναι πιο εντατική στη φετινή έρευνα, είναι ότι δημιούργησαν ένα εργαλείο που σκανάρει το firmware για προβλήματα, ακόμη και αν δεν έχουν την συσκευή στα χέρια τους. Στη συνέχεια το εργαλείο πιστοποιεί την ύπαρξη της ευπάθειας  και ότι δεν πρόκειται για “λάθος”.

Πολλές από τις ευπάθειες που η Kryptowire ανακάλυψε επιτρέπουν στις εφαρμογές να αλλάξουν πράγματα όπως τις ρυθμίσεις, χωρίς τη χρήση ή τη γνώση του χρήστη.

Το οικοσύστημα περιλαμβάνει εκατοντάδες κατασκευαστές που δεν συνεργάζονται απαραίτητα για να διασφαλιστεί η ποιότητα του λογισμικού. Η Kryptowire ξεκίνησε την ιδιαίτερα επίπονη διαδικασία ενημέρωσης της Google και 29 άλλων κατασκευαστών για τα αποτελέσματα των ερευνών της. Αλλά όλοι οι κατασκευαστές δεν συμφωνούν ότι τα ευρήματα είναι ανησυχητικά. Η Kryptowire αναφέρθηκε σε 33 ευπάθειες για τις Samsung συσκευές που προέρχονται από 6 προεγκατεστημένες εφαρμογές. Δυο από αυτές τις 6 αναπτύχθηκαν από εξωτερικούς συνεργάτες και αν και επηρεάζουν τις συσκευές, η Samsung παρέπεμψε την Kryptowire σε εκείνους. Όσον για τις υπόλοιπες 4 η Samsung αναφέρει ότι το ευρύτερο Android Security framework τις καθιστά ακίνδυνες.

Η Kryptowire διαφωνεί: Τα Samsung apps μπορούν να χρησιμοποιηθούν από τρίτους στην αλυσίδα εφοδιασμού για την πρόσβαση σε πληροφορίες. Το τρέχον design του Android Security framework δεν εμποδίζει να συμβεί κάτι τέτοιο. Τουλάχιστον η Samsung έχει τους πόρους που απαιτούνται για να ερευνήσει τις ευπάθειες. Πολλοί κατασκευαστές δεν προσφέρουν καν έναν τρόπο επίσημης αναφοράς ευπαθειών.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.