Asus, Essential, LG и ZTE должны закрыть уязвимость, найденную фирмой Kryptowire. Источником этой уязвимости является код, при помощи которого разработчики вносят изменения в чистый вариант Android.
Были найдены баги в прошивках 10 различных моделей смартфонов ведущих американских сетей. Злоумышленники могут получить контроль над микрофоном и видеокамерой, собирать пользовательские данные.
Там пользователи должны установить на устройство вредоносное приложение. Об этом открытии было рассказано на конференции Black Hat.
Уязвимость связана с открытой природой платформы Android. Она позволяет сторонним разработчикам вносить изменения в код и менять интерфейс для создания собственных версий. Это же ведёт к ослаблению безопасности.
Многие принимающие участие в процессе разработки смартфона хотят добавить собственные приложения и код. Это увеличивает вероятность атак злоумышленников и вероятность программных ошибок.
Один из наиболее ярких примеров найден в смартфоне Asus Zenfone V Live. Здесь пользователи могут полностью потерять контроль над своим устройством. Посторонние могут делать снимки экрана и записывать видео, читать и вносить изменения в текстовые сообщения. В Asus сообщают, что знают об этой проблеме и работают над патчем.
Essential, LG и ZTE сообщают, что закрыли некоторые обнаруженные проблемы. Android не может похвастаться оперативностью и регулярностью обновлений, поэтому подобные уязвимости могут не закрываться много месяцев и даже лет.
