Muitos dispositivos Android navio com vulnerabilidades de firmware, os investigadores encontram

Essenciais, Asus, LG e ZTE todos prometeram corrigir falhas de segurança encontradas pela empresa de segurança móvel Kryptowire, de acordo com a Wired. Pesquisa da empresa estava destinada a assinalar que alguns colapsos de segurança decorrem de código escrito por empresas de telefonia para modificar o Android.

Os investigadores encontraram bugs no firmware de 10 dispositivos separados transportadas as principais operadoras americanas, de acordo com a Wired, que viu uma versão inicial do relatório do Kryptowire. Os lapsos de segurança poderiam levar a tudo de deixar um bloqueio atacante alguém fora do seu dispositivo, para obter controle sobre seu microfone e muito mais — embora a maioria dos ataques que os pesquisadores detalhados necessários aos usuários baixar algum tipo de aplicativo malicioso antes que eles poderiam aproveitar os furos presentes no firmware. Sua pesquisa, financiada pelo departamento de segurança interna, está sendo apresentada hoje na conferência Black Hat USAsecurity.

De acordo com Kryptowire, estas vulnerabilidades decorrem de natureza aberta do Android, que permite que terceiros ajustar o código e modificar a interferência ou criar versões completamente diferentes do Android. No entanto, que os pesquisadores descobriram, este sistema de estilo aberto também pode levar a falhas na segurança dos telefones. Wired diz que a pesquisa Olha para estas falhas como um problema endêmico para Android.

“Muitas pessoas na cadeia de abastecimento quero ser capaz de adicionar suas próprias aplicações, personalizar, adicionar seus próprios bacalhau,” CEO Kryptowire Angelos Stavrou disse a Wired. “Isso aumenta a superfície de ataque e aumenta a probabilidade de erro de software.”

Um exemplo particularmente ruim foi encontrado no smartphone Asus Zenfone V ao vivo. De acordo com a Wired, Kryptowire encontrado suficiente buracos no seu código para expor os usuários a uma aquisição completa de seu dispositivo — screenshots e gravações de vídeo poderiam ter em sua tela, e alguém poderia, teoricamente, ler e alterar as suas mensagens de texto. Asus disse que é “conhecimento as recentes preocupações de segurança” e que é “trabalhando diligentemente e rapidamente para resolvê-los” com um patch.

Essencial, LG e ZTE todos responderam a Wired com declarações dizendo que tinham corrigido alguns ou todos os problemas identificados pelo Kryptowire depois de ser alertado pela empresa. Se os patches tem sido rolados para fora para todos os usuários é menos clara, no entanto, como apenas a AT & T confirmou tinha implantado qualquer uma dessas atualizações. E como os pesquisadores apontam, este processo de atualização é, em si, quebrado para muitos, com atualizações, muitas vezes levando meses para juntar e fazer o seu caminho para os usuários.

Click here for more information