Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннего кода и несанкционированную запись аудио. Список вендоров, на чьих телефонах обнаружены недостатки, включает в себя лидеров индустрии — Samsung, Xiaomi, Asus и Sony.

Какие уязвимости были найдены в Android-смартфонах

Объектами анализа, выполненного при помощи собственного движка Kryptowire, стали модифицированные версии Android и оригинальные программы, не входящие в стандартный пакет ОС. Под прицел экспертов попали устройства 29 производителей, представленных на американском рынке. Тестирование выявило в них 146 уязвимостей, из которых почти треть связана с эскалацией привилегий и дает возможность сторонним приложениям получить несанкционированный доступ к настройкам системы.

Большая группа багов связана с обходом границ безопасности Android. Исследователи обнаружили 34 приложения, способных установить на устройство программы сторонних разработчиков без проверки цифровой подписи. Еще 30 системных утилит допускают запуск сторонних продуктов с расширенными привилегиями, вне зависимости от имеющихся для этого разрешений. Среди других уязвимостей — возможность изменения настроек через беспроводное соединение, несанкционированная работа с микрофоном и динамическая загрузка стороннего кода.

Баги в прошивках Asus, Xiaomi и Samsung

Наибольшее количество багов — 33 — найдено в прошивках телефонов Samsung, на второй строчке устройства ASUS, в которых обнаружено 26 недостатков, на третьем месте Xiaomi с 15 уязвимостями.

Так, специалисты обнаружили и зарегистрировали следующие проблемы:

  • CVE-2019-15394— любое приложение, установленное на Asus ZenFone 5 Selfie, может взаимодействовать с компонентами программы с именем пакета com.asus.atd.smmitest и получить права на изменение настроек беспроводного соединения.
  • CVE-2019-15446— менеджер оформления телефона Samsung S7 может быть использован другими предустановленными продуктами для инсталляции сторонних программ без соответствующих разрешений.
  • CVE-2019-15475— один из модулей прошивки чипсета Qualcomm в Xiaomi Mi A3 дает возможность вредоносному приложению перехватывать работу с микрофоном и вести запись телефонных звонков.

Эксперты сообщили производителям устройств и разработчикам операционной системы о выявленных уязвимостях. В ответ представители Google заявили, что высоко ценят работу исследователей в рамках ответственного раскрытия найденных багов.

Не меньшую опасность, чем уязвимости в предустановленных утилитах, представляют баги в сторонних приложениях. В прошлом году ИБ-аналитики проверили более 300 наиболее скачиваемых программ в Google Play и нашли в них около 2000 ошибок. Проблемы различной степени опасности были выявлены в 31% протестированных продуктов.

Категории: Аналитика, Уязвимости