Asus, Viktigt, LG, ZTE har alla lovat att lappa säkerhetsbrister som finns av mobile security fast Kryptowire, enligt Wired. Företagets forskning var tänkt att påpeka att vissa säkerhets-härdsmältor härrör från koden skriven av telefonen företag för att ändra Android.
Forskarna fann buggar i firmware 10 separata enheter som transporteras över stora Amerikanska flygbolagen, enligt Wired, som såg en tidig version av Kryptowire rapport. Säkerheten upphör att gälla kan leda till allt från att låta en angripare lock någon ut av sin enhet, för att få kontroll över sin mikrofon och mer — även om de flesta av de attacker som forskarna detaljerad som krävs för användare att ladda ner någon form av skadliga program innan de kan ta fördel av de hål som finns i den fasta programvaran. Deras forskning, som finansieras av Department of Homeland Security, som presenteras idag på Black Hat USA security conference.
Enligt Kryptowire, dessa sårbarheter härrör från Android öppna naturen, vilket möjliggör att tredje part kan justera koden och ändra störningar eller skapa helt olika versioner av Android. Men, som forskarna fann denna öppna stil system kan också leda till luckor i telefoner säkerhet. Fast säger forskningen ser ut på dessa brister som ett problem som är endemisk för Android.
“En hel del människor i supply chain vill kunna lägga till sina egna applikationer, anpassa, lägga till sina egna cod,” Kryptowire VD Angelos Stavrou sa Fast. “Som ökar attacken yta, och ökar sannolikheten för programvara fel.”
Ett särskilt dåligt exempel konstaterades i Asus Zenfone V Live smartphone. Enligt Wired, Kryptowire finns tillräckligt med hål i sin kod för att utsätta användare för att ett fullständigt övertagande av deras enhet — skärmbilder och video inspelningar kan vidtas av skärmen, och någon kunde, rent teoretiskt, läsa och ändra i sina sms. Asus sa att det är “medveten om att den senaste tidens oro för säkerheten” och att det är “att arbeta hårt och snabbt för att lösa dem” med en patch.
Viktigt, LG, ZTE alla svarade att Fast med uttalanden som säger att de hade fixat några eller alla av de problem som identifierats av Kryptowire efter att ha blivit varnad av företaget. Om dessa fläckar har varit rullas ut till alla användare är mindre tydliga, men som bara AT&T bekräftade att det hade utplacerade någon av dessa uppdateringar. Och som forskarna påpekar, här uppdateringen är, i sig, brutit för många, med uppdateringar ofta tar flera månader att sätta ihop och ta sig till användare.