Androidos telefonok milliói már a gyártásnál sérülékenyek

2018.08.13. 18:25

Habár nem hallunk hatalmas horrorsztorikat feltört vagy lehallgatott telefonokról, és jellemzően a különböző zsarolóvírusok sem ezeket támadják elsődlegesen, de a Kryptowire által lefolytatott kutatás végeredménye azért mégis megdöbbentő és elgondolkodtató. Ezek szerint számos gyártótól származó, több tízmilliós darabszámban értékesített telefonokban már gyárilag nagyon komoly sérülékenységek találhatók.

A Kryptowire ezt alapvetően két dolognak tulajdonítja. Az egyik, hogy az Android nyílt forráskódú platform, amit bárki szabadon módosíthat, és persze a gyártók élnek is ezzel a lehetőséggel, hiszen meg akarják különböztetni magukat a többiektől. A másik, hogy adott esetben a szolgáltató telepíthet fel előre olyan programokat a készülékekre, melyek nyitva hagyják a kaput hackerek előtt.

A sérülékenységek súlyosságát tekintve változó a helyzet. A kutatók találtak olyan hibákat, amelyek kihasználásával akár teljesen kicsukható a felhasználó a saját telefonjáról, de olyanokat is, melyek lehetőséget adnak a beszélgetések lehallgatására és rögzítésére. A vizsgált gyártók között olyanokat találunk, mint például az Asus, az LG, az Essential és a ZTE, de a Kryptowire hamarosan továbbiakat is fog ismertetni.

Az Asus ZenFone V Live esetében például egy olyan hibát fedeztek fel, melyet kihasználva akár a teljes telefon felett át tudja venni egy külső fél az irányítást, tud képernyőképeket rögzíteni, telefonhívásokat indítani, a szöveges üzeneteket is el tudja olvasni, sőt módosítani is képes azokat. Ezzel szemben a ZTE Blade Spark  és a ZTE Blade Vantage esetében talált hiba lehetőséget adott arra, hogy kívülről lekérdezhető legyen az úgynevezett logcat, ami olyan érzékeny információkat tárol, mint a GPS-koordináták és e-mail címek.

Forrás: TechCrunch

Ez persze jellemzően nem történhet meg csak úgy magától, többnyire először valamilyen alkalmazást kell telepítenie a felhasználónak, amin keresztül be tudnak hatolni a telefonjába. Itt az a fontos, hogy ezek az alkalmazások nem kérnek a telepítéskor felhatalmazást olyan dolgokra, mint mondjuk hozzáférés a mikrofonhoz vagy az üzenetekhez, így a felhasználó sokszor nem is gyanakszik arra, hogy az adott program trójai falóként viselkedik, és onnantól kezdve, hogy felraktuk, már az alapból meglévő sérülékenységeket kihasználva szerez magának hozzáféréseket. A legnagyobb biztonságban akkor vagyunk, ha kizárólag a Google Play Áruházból telepítünk programokat, a külső oldalakon található letöltéseket többségében érdemes elkerülni.

Az Asus egyébként már reagált is dologra, és ígéretük szerint hamarosan egy frissítéssel orvosolják a problémát, de itt azonban akad rögtön egy másik kérdés: a frissítések hatékonysága. Mert hiába készíti el és küldi ki a készülékekre a gyártó a frissítést, azt a felhasználónak el kell fogadnia és telepítenie kell. Ez az egész pedig sokak figyelmét eleve elkerüli, míg mások szándékosan nem telepítik az érkező frissítéseket valamilyen meggyőződésből kifolyólag. 

Ráadásul ennél is aggasztóbb a helyzet, ha az Android biztonsági frissítéseit nézzük, melyeket a Google ad ki, a gyártóknak pedig implementálniuk kellene és kiküldeni azokat a felhasználók telefonjaira. Ugyanis nem csak, hogy a gyártók többsége viszonylag lassú ezzel a folyamattal, esetenként kihagy egy-egy biztonsági frissítést, de néha még hazudik is. Ez utóbbi konkrétan abban nyilvánul meg, hogy a telefon ugyan kiírja, hogy a legfrissebb verzióval működik, a gyakorlatban azonban a háttérben semmi nem történt, a frissítés sosem érkezett meg a készülékre.

A Security Research Labs kutatása szerint a nagyobb gyártók ilyen rendszerességgel "felejtenek el" egy-egy frissítést:

  • 0-1 kihagyott frissítés: Google, Sony, Samsung
  • 1-3 kihagyott frissítés: Xiaomi, OnePlus, Nokia
  • 3-4 kihagyott frissítés: HTC, Huawei, LG, Motorola
  • 4-nél több kihagyott frissítés: TCL, ZTE

Látható tehát, hogy habár az Android fejlődésével a készülékek is biztonságosabbak lettek, és ha a nagy főverziók nem is, de a biztonsági frissítések gyakrabban kerülnek fel a készülékekre, azért van még hova fejlődni. És ez ugyanúgy vonatkozik a Google-ra és a készülékgyártókra is.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!