Asus, Essentieel, LG en ZTE hebben alle beloofde patch beveiligingslekken gevonden door mobiele beveiligingsbedrijf Kryptowire, volgens Wired. De firma ‘ s onderzoek was bedoeld om erop te wijzen dat sommige beveiliging meltdowns stam van code die is geschreven door telefoonbedrijven te wijzigen Android.
Onderzoekers ontdekten fouten in de firmware van de 10 afzonderlijke apparaten uitgevoerd aan de overkant van de grote Amerikaanse luchtvaartmaatschappijen, volgens Wired, die zag een vroege versie van Kryptowire verslag. De gebrekkige beveiliging kan leiden tot alles wat van de verhuur van de aanvaller lock iemand uit hun toestel te krijgen van controle over hun microfoon en meer — hoewel de meeste van de aanvallen die de onderzoekers gedetailleerde vereist gebruikers om te downloaden op een soort van kwaadaardige app voordat ze kunnen profiteren van de gaten die aanwezig zijn in de firmware. Hun onderzoek, gefinancierd door het Ministerie van Homeland Security, wordt vandaag gepresenteerd op de Black Hat USA security conference.
Volgens Kryptowire, deze kwetsbaarheden stam van Android is open karakter, waardoor derden te tweaken van de code en wijzig de storing of het maken van geheel verschillende versies van Android. Echter, de onderzoekers vinden dit een open-style-systeem kan ook leiden tot hiaten in de telefoons op’ beveiliging’. Wired zegt het onderzoek kijkt naar deze gebreken als een probleem endemisch voor Android.
“Veel van de mensen in de supply chain wil in staat zijn om hun eigen toepassingen, aanpassen, toevoegen van een eigen cod,” Kryptowire CEO Angelos Stavrou vertelde Vast. “Dat vergroot de kwetsbaarheid, en verhoogt de kans op fout opgetreden in de software.”
Een bijzonder slecht voorbeeld werd gevonden in de Asus Zenfone V Live smartphone. Volgens Wired, Kryptowire genoeg gaten in de code, te bloot gebruikers een volledige overname van hun apparaat — screenshots en video-opnames gemaakt kon worden van hun scherm, en iemand kan, in theorie, lezen en veranderen van hun sms-berichten. Asus zegt dat het ‘zich bewust van de recente bezorgdheid over de veiligheid” en dat het “hard werken en snel zijn op te lossen” met een patch.
Essentieel, LG en ZTE alle reageerde Vast met verklaringen zeggen dat ze hadden vast een aantal of alle van de problemen die door Kryptowire na te zijn gewaarschuwd door de firma. Of deze patches zijn uitgerold naar alle gebruikers is minder duidelijk, echter, als alleen AT&T bevestigd was ingezet een van deze updates. En als de onderzoekers wijzen deze update proces is, zelf, gebroken voor velen, met updates vaak met maanden samen te stellen en hun weg naar de gebruikers.