Изследването е финансирано от Департамента за вътрешната сигурност на САЩ и е показва, че в актуалните продукти на 29 производители присъстват 146 уязвимости, които могат да повлияят негативно на сигурността на потребителските данни. По-голямата част от смартфоните се продават и в България. Други пък могат да бъдат поръчани онлайн
Кои са "първенците"
Според Kryptowire в топ 5 по количество засегнати устройства попадат компаниите Samsung, Asus, Xiaomi и непопулярните у нас Lava и Tecno.
В списъка влизат моделите на Samsung: J5, J6, J7, J7 Neo, J7 Duo и J7 Pro. Тези на Xiaomi са повече: Redmi 5, Redmi 6 Pro, Mi 5S Plus, Mi Mix, Mi Note 2, Mi Mix 2S, Mi A2 Lite, Redmi Note 6 Pro и Mi A3. Там е попаднал и таблетът Mi Pad 4. Интересно е присъствието на модели с "чист" Android – Mi A2 и Mi A3.
Asus са рекордьори по количество модели с пробойни. В списъка на Kryptowire се споменават: ZenFone Live, ZenFone 5 Selfie, ZenFone 3s Max, ZenFone 3, ZenFone Max 4, ZenFone 4 Selfie, ZenFone 5Q, ZenFone 3 Ultra, ZenFone 3 Laser и др.
Трябва да се подчертае, че не става дума само за бюджетни модели. Mi Mix на Xiaomi например е флагман на марката, който бе един от първите с "безрамков" дисплей.
В списъка на Kryptowire се споменават още следните компании: Adwan, Allview, Archos, Blackview, Bluboo, BQ, Cherry, Coolpad, Cubot, Dexp, Doogee, Elephone, Evercross, Fly, Haier, Hisense, Infinix, Kata, Lava, Panasonic, Sony, Symphony, Ulefone и Walton.
Разпределение на откритите слабости, Източник: Kryptowire
Какви са заплахите
Всички тествани от анализаторите смартфони са различни степени на опасност за потребителите. Например тези в продуктите на Samsung позволяват дистанционно инсталиране на приложения, което може да доведе до кражба на информация, включително пароли от банкови приложения.
Уязвимости в модели на други устройства дават възможност за промяна на настройки на системата и на свързаността, стартиране на команди и подслушване на потребителя чрез вградения микрофон. Записът на звук е възможен в споменатите Mi A3 и Mi A2 на Xiaomi.
Това не е всичко
Настоящото изследване не е първо по рода си за Kryptowire. През лятото на 2018 г. компанията публикува резултатите от друго такова и тогава откри общо 47 уязвимости в 25 смартфона, работещи под Android.
Опасни приложения бяха открити в модели на: Alcatel, Asus, Coolpad, Essential, Leagoo, LG, MXQ, Nokia, Oppo, Orbic, Plum, Sky, Sony, Vivo и ZTE.
Както се вижда някои от тях (Asus, Сoolpad и Sony) присъстват в новата класация, като списъкът е допълнен от марки като Nokia, която също ползва "чиста" версия на Android. Повдигнати вежди предизвиква присъствието на Essential, която е основана от "бащата" на Android – Анди Рубин. Зловредният софтуер смартфона на компанията позволява дистанционно връщане към заводски настройки със загуба с цялото негово съдържание.
Засегнатите устройства, според Kryptowire
Има ли решение
Потребителите на практика не могат самостоятелно да премахнат уязвимостите. Причина за това е, че това няма как да стане с обичайните средства. Достъпът до приложения, вградени на заводско ниво, е възможен при наличие на root права и с използване на bootloader. Очевидно е, че далеч не всеки може да направи нещо такова.
Даже получаването на root права обаче не гарантира възможност за премахване на зловредните приложения. От такива спокойно може да зависи работата на операционната система. С други думи – премахването на слабостите може да бъде извършено само от производителите чрез обновявания на софтуера.
