A Kryptowire ezt alapvetően két dolognak tulajdonítja. Az egyik, hogy az Android nyílt forráskódú platform, amit bárki szabadon módosíthat, és persze a gyártók élnek is ezzel a lehetőséggel, hiszen meg akarják különböztetni magukat a többiektől.
A másik, hogy adott esetben a szolgáltató telepíthet fel előre olyan programokat a készülékekre, melyek nyitva hagyják a kaput hackerek előtt.
A sérülékenységek súlyosságát tekintve változó a helyzet. A kutatók találtak olyan hibákat, amelyek kihasználásával akár teljesen kicsukható a felhasználó a saját telefonjáról, de olyanokat is, melyek lehetőséget adnak a beszélgetések lehallgatására és rögzítésére. A vizsgált gyártók között olyanokat találunk, mint például az Asus, az LG, az Essential és a ZTE, de a Kryptowire hamarosan továbbiakat is fog ismertetni.
Az Asus ZenFone V Live esetében például egy olyan hibát fedeztek fel, melyet kihasználva akár a teljes telefon felett át tudja venni egy külső fél az irányítást, tud képernyőképeket rögzíteni, telefonhívásokat indítani, a szöveges üzeneteket is el tudja olvasni, sőt módosítani is képes azokat.
Ezzel szemben a ZTE Blade Spark és a ZTE Blade Vantage esetében talált hiba lehetőséget adott arra, hogy kívülről lekérdezhető legyen az úgynevezett logcat, ami olyan érzékeny információkat tárol, mint a GPS-koordináták és e-mail címek.
Ez persze jellemzően nem történhet meg csak úgy magától, többnyire először valamilyen alkalmazást kell telepítenie a felhasználónak, amin keresztül be tudnak hatolni a telefonjába. Itt az a fontos, hogy ezek az alkalmazások nem kérnek a telepítéskor felhatalmazást olyan dolgokra, mint mondjuk hozzáférés a mikrofonhoz vagy az üzenetekhez, így a felhasználó sokszor nem is gyanakszik arra, hogy az adott program trójai falóként viselkedik, és onnantól kezdve, hogy felraktuk, már az alapból meglévő sérülékenységeket kihasználva szerez magának hozzáféréseket.
A legnagyobb biztonságban akkor vagyunk, ha kizárólag a Google Play Áruházból telepítünk programokat, a külső oldalakon található letöltéseket többségében érdemes elkerülni.
Az Asus egyébként már reagált is dologra, és ígéretük szerint hamarosan egy frissítéssel orvosolják a problémát, de itt azonban akad rögtön egy másik kérdés: a frissítések hatékonysága. Mert hiába készíti el és küldi ki a készülékekre a gyártó a frissítést, azt a felhasználónak el kell fogadnia és telepítenie kell. Ez az egész pedig sokak figyelmét eleve elkerüli, míg mások szándékosan nem telepítik az érkező frissítéseket valamilyen meggyőződésből kifolyólag.
Ráadásul ennél is aggasztóbb a helyzet, ha az Android biztonsági frissítéseit nézzük, melyeket a Google ad ki, a gyártóknak pedig implementálniuk kellene és kiküldeni azokat a felhasználók telefonjaira.
Ugyanis nem csak, hogy a gyártók többsége viszonylag lassú ezzel a folyamattal, esetenként kihagy egy-egy biztonsági frissítést, de néha még hazudik is. Ez utóbbi konkrétan abban nyilvánul meg, hogy a telefon ugyan kiírja, hogy a legfrissebb verzióval működik, a gyakorlatban azonban a háttérben semmi nem történt, a frissítés sosem érkezett meg a készülékre.
A Security Research Labs kutatása szerint a nagyobb gyártók ilyen rendszerességgel "felejtenek el" egy-egy frissítést:
Látható tehát, hogy habár az Android fejlődésével a készülékek is biztonságosabbak lettek, és ha a nagy főverziók nem is, de a biztonsági frissítések gyakrabban kerülnek fel a készülékekre, azért van még hova fejlődni. És ez ugyanúgy vonatkozik a Google-ra és a készülékgyártókra is.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!