На конференции DEF CON исследователи компании Kryptowire рассказали об обнаружении уязвимостей в прошивках смартфонов многих крупных производителей, включая ZTE, Sony, Nokia, LG, Asus и Alcatel. Полный список проблемных устройств и описания уязвимостей можно найти в блоге компании.
Специалисты провели масштабное исследование в рамках гранта, полученного от Министерства национальной безопасности США. Изучив ряд популярных моделей Android-смартфонов, специалисты выявили десятки различных уязвимостей, как в их прошивках, так и в составе предустановленных на устройства приложений.
Среди обнаруженных багов есть самые разные: одни позволяют сбросить устройство к заводским настройкам, а другие дают потенциальному злоумышленнику полный контроль и позволяют устанавливать сторонние приложения, перехватывать звонки и сообщения, узнать пароли от Wi-Fi и так далее. Наиболее серьезные уязвимости были обнаружены в составе Asus ZenFone V, ZenFone 4 Max, ZenFone 3 Max и Max Pro.
В общей сумме проблемы были выявлены как минимум в 25 моделях смартфонов, 11 из которых официально продаются в США, в том числе и менее крупных компаний, таких как Vivo, SKY, Plum, Orbic, Oppo, MXQ, Leagoo, Essential, Doogee, Coolpad.
При этом исследователи подчеркивают, что принимая во внимание сотни представленных на рынке моделей смартфонов и тысячи разнообразных версий ПО, провести всеобъемлющее тестирование и оценить настоящий масштаб проблемы вряд ли возможно.
После презентации доклада специалистов некоторые производители поспешили заверить, что уже исправили обнаруженные экспертами баги. Так, о существовании патчей сообщили представители Asus и Essential, а в компании LG сообщили, что уже работают над «заплатками».
