Hírlevél

Nézze meg a sporthíreket is

Origo SportNyíl

Kiemelt témák

Rovatok

PodcastPodcastVideóVideóVéleményVélemény

Nézze meg a sporthíreket is

Origo SportNyíl
Rendkívüli

Döbbenetes fordulat: az Egyesült Államok bevonulhat Ukrajnába

android

Androidos telefonok milliói már a gyártásnál sérülékenyek

2018. augusztus 13. 18:25
Link másolása
Vágólapra másolva!
Habár nem hallunk hatalmas horrorsztorikat feltört vagy lehallgatott telefonokról, és jellemzően a különböző zsarolóvírusok sem ezeket támadják elsődlegesen, de a Kryptowire által lefolytatott kutatás végeredménye azért mégis megdöbbentő és elgondolkodtató. Ezek szerint számos gyártótól származó, több tízmilliós darabszámban értékesített telefonokban már gyárilag nagyon komoly sérülékenységek találhatók.
Link másolása
Vágólapra másolva!
androidsebezhetoségokostelefon

A Kryptowire ezt alapvetően két dolognak tulajdonítja. Az egyik, hogy az Android nyílt forráskódú platform, amit bárki szabadon módosíthat, és persze a gyártók élnek is ezzel a lehetőséggel, hiszen meg akarják különböztetni magukat a többiektől.

A másik, hogy adott esetben a szolgáltató telepíthet fel előre olyan programokat a készülékekre, melyek nyitva hagyják a kaput hackerek előtt.

A sérülékenységek súlyosságát tekintve változó a helyzet. A kutatók találtak olyan hibákat, amelyek kihasználásával akár teljesen kicsukható a felhasználó a saját telefonjáról, de olyanokat is, melyek lehetőséget adnak a beszélgetések lehallgatására és rögzítésére. A vizsgált gyártók között olyanokat találunk, mint például az Asus, az LG, az Essential és a ZTE, de a Kryptowire hamarosan továbbiakat is fog ismertetni.

Az Asus ZenFone V Live esetében például egy olyan hibát fedeztek fel, melyet kihasználva akár a teljes telefon felett át tudja venni egy külső fél az irányítást, tud képernyőképeket rögzíteni, telefonhívásokat indítani, a szöveges üzeneteket is el tudja olvasni, sőt módosítani is képes azokat.

Ezzel szemben a ZTE Blade Spark és a ZTE Blade Vantage esetében talált hiba lehetőséget adott arra, hogy kívülről lekérdezhető legyen az úgynevezett logcat, ami olyan érzékeny információkat tárol, mint a GPS-koordináták és e-mail címek.

Forrás: TechCrunch

Ez persze jellemzően nem történhet meg csak úgy magától, többnyire először valamilyen alkalmazást kell telepítenie a felhasználónak, amin keresztül be tudnak hatolni a telefonjába. Itt az a fontos, hogy ezek az alkalmazások nem kérnek a telepítéskor felhatalmazást olyan dolgokra, mint mondjuk hozzáférés a mikrofonhoz vagy az üzenetekhez, így a felhasználó sokszor nem is gyanakszik arra, hogy az adott program trójai falóként viselkedik, és onnantól kezdve, hogy felraktuk, már az alapból meglévő sérülékenységeket kihasználva szerez magának hozzáféréseket.

A legnagyobb biztonságban akkor vagyunk, ha kizárólag a Google Play Áruházból telepítünk programokat, a külső oldalakon található letöltéseket többségében érdemes elkerülni.

Az Asus egyébként már reagált is dologra, és ígéretük szerint hamarosan egy frissítéssel orvosolják a problémát, de itt azonban akad rögtön egy másik kérdés: a frissítések hatékonysága. Mert hiába készíti el és küldi ki a készülékekre a gyártó a frissítést, azt a felhasználónak el kell fogadnia és telepítenie kell. Ez az egész pedig sokak figyelmét eleve elkerüli, míg mások szándékosan nem telepítik az érkező frissítéseket valamilyen meggyőződésből kifolyólag.

Ráadásul ennél is aggasztóbb a helyzet, ha az Android biztonsági frissítéseit nézzük, melyeket a Google ad ki, a gyártóknak pedig implementálniuk kellene és kiküldeni azokat a felhasználók telefonjaira.

Ugyanis nem csak, hogy a gyártók többsége viszonylag lassú ezzel a folyamattal, esetenként kihagy egy-egy biztonsági frissítést, de néha még hazudik is. Ez utóbbi konkrétan abban nyilvánul meg, hogy a telefon ugyan kiírja, hogy a legfrissebb verzióval működik, a gyakorlatban azonban a háttérben semmi nem történt, a frissítés sosem érkezett meg a készülékre.

A Security Research Labs kutatása szerint a nagyobb gyártók ilyen rendszerességgel "felejtenek el" egy-egy frissítést:

  • 0-1 kihagyott frissítés: Google, Sony, Samsung
  • 1-3 kihagyott frissítés: Xiaomi, OnePlus, Nokia
  • 3-4 kihagyott frissítés: HTC, Huawei, LG, Motorola
  • 4-nél több kihagyott frissítés: TCL, ZTE

Látható tehát, hogy habár az Android fejlődésével a készülékek is biztonságosabbak lettek, és ha a nagy főverziók nem is, de a biztonsági frissítések gyakrabban kerülnek fel a készülékekre, azért van még hova fejlődni. És ez ugyanúgy vonatkozik a Google-ra és a készülékgyártókra is.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!