Вашият китайски смартфон може да има сериозен проблем със сигурността

реклама

На примамката на евтин смартфон може да бъде трудно да се устои, особено тъй като те вече са почти толкова способни, колкото и по-скъпите модели. По тази причина са неизвестни китайски производители като Huawei и Xiaomi бързо изпреварване Защо следващият ви смартфон с Android трябва да е китайскиОт години китайските смартфони придобиват лоша репутация, но ето защо сега наистина трябва да помислите как да си вземете такъв. Прочетете още по-утвърдени, премиум производители като Samsung, Sony и дори Apple.

Но, както във всички неща, получавате това, което плащате. Наскоро откритата уязвимост в много бюджетни китайски телефони, която би могла да позволи на нападателя да получи root достъп, доказва този начин. Ето какво трябва да знаете

Разбиране на атаката

Много телефони управляват SoCs (Система на чипа Jargon Buster: Ръководството за разбиране на мобилните процесориВ това ръководство ще прережем жаргона, за да обясним какво трябва да знаете за процесорите на смартфони. Прочетете още ) построен от базираната в Тайван MediaTek, която е един от най-големите производители на полупроводници в света. През 2013 г. те произведоха феноменални 220 милиона чипа за смартфони. Един от най-големите им продавачи е MT6582, който се използва в редица смартфони от нисък клас, като много от тях се произвеждат от китайски производители като Lenovo и Huawei.

MT6582 идва с активирана настройка за отстраняване на грешки, която според производителя се използва за тестване на оперативната съвместимост на телекомуникациите в Китай.

Въпреки че това беше необходимо, за да MediaTek реално да проектира чипа и да гарантира, че той работи правилно, оставянето му на потребителско устройство представлява невероятен риск за сигурността за потребителите. Защо? Защото позволява на нападател или злонамерен софтуер да получи корен достъп до телефона.

Така Mediatek наруши основните функции на сигурността, за да има тази работа на заден план. Свойствата само за четене НЕ са само за четене! pic.twitter.com/pEjtMNpo9v

- Джъстин Кейс (@jcase) 13 януари 2016 г.

От това те ще могат да променят и изтриват важни системни файлове и настройки, да шпионират потребителя и да инсталират още злонамерен софтуер без съгласието на потребителя. Ако нападател искаше, те дори можеха да тухлят телефона, правейки го постоянно неизползваем.

Според регистъра тази уязвимост може да се изпълни само на телефони с версия 4.4 KitKat на операционната система Android.

Откриването на тази уязвимост следва подобен недостатък, открит в ключодържателя на ОС във версия 3.8 на Linux Kernel, който беше разкрити от изследователите през януари Тази безумна грешка в Linux дава на всеки коренен достъп до вашата кутия Прочетете още . При експлоатация тази уязвимост би позволила на атакуващия да получи корен достъп до машината.

Тази уязвимост повлия на почти всяка дистрибуция на Linux, както и на множество телефони с Android. За щастие, поправка беше издадена бързо.

Поставете си Pitchforks

Въпреки че телефоните от харесванията на Lenovo и Huawei са особено засегнати, не трябва да ги обвинявате. Въпреки че може да изглежда привлекателно, като се има предвид, че някои от тези производители имат история на нередности, свързани със сигурността.

Lenovo е особено виновен за това. През 2014 г. те разбиха SSL за всички свои потребители със SuperFish Собствениците на лаптопи Lenovo Внимавайте: Вашето устройство може да е инсталирало предварително зловреден софтуерКитайският производител на компютри Lenovo призна, че лаптопите, изпращани до магазини и потребители в края на 2014 г., са имали предварително инсталиран зловреден софтуер. Прочетете още . Тогава те натовариха лаптопите си несменяем, базиран на BIOS зловреден софтуер. Тогава те инсталираха a страховита, програма за анализи на Big Brother-esque Сега това е ТРИ предварително инсталирани Malwares на лаптопи LenovoЗа трети път от една година Lenovo бяха хванати да доставят компютри, натоварени с клиенти неприятен за поверителност зловреден софтуер, показвайки, че те не са научили уроците от публичния протест Superfish. Прочетете още на техните настолни компютри от висок клас ThinkPad и ThinkCenter.

Но ето, ръцете им са чисти. Веднъж. Вината се крие пряко пред вратата на MediaTek, който достави тези чипове на производители с активирана тази настройка.

Засегнат ли съм?

Струва си да се отбележи, че тази уязвимост няма да има същия обсег като споменатата по-горе уязвимост на Linux. Уязвимостта е открита само на телефони, работещи на чипсет, които не се доставят на нито един телефон, пуснат през 2015 и 2016 г.

Той може да бъде изпълнен само на телефони, работещи с много специфична версия на Android, която, въпреки че работи на около една трета от телефоните с Android, в никакъв случай не е повсеместна.

Въпреки това, вероятно е добра идея да проверите дали телефонът ви е уязвим. Тъй като това се случва, аз притежавам бюджетен китайски телефон - Huawei Honor 3C, който беше основното ми устройство, докато не скочих кораб до Windows Phone през август.

Първо, първо погледнах устройството GSMArena. Това е по същество Енциклопедия Британика на телефони. Ако голям производител го пусна, този уебсайт ще предостави подробна статистика за него. Информация за използвания чипсет можете да намерите отдолу платформа. Със сигурност, телефона ми Huawei съдържа го.

И така, тогава трябва да видя дали пускам засегнатата версия на Android. аз отворих Настройкии след това подслушва За телефона. Това може да е малко по-различно за вашия телефон. Производителите са известни с персонализирането на менюто с настройки.

За щастие телефонът ми работи с Android 4.2 Jellybean, който въпреки че е дълго в зъба, не е засегнат от тази уязвимост.

Ако сте засегнати

Докато имах голям късмет, сигурно е да предположим, че милиони телефони ще бъдат засегнати от това. Ако сте, би било разумно да закупите нов телефон.

Най- Motorola Moto G Официално Moto G е тук само за $ 179 ОтключенMotorola току-що обяви слуховия Moto G, по-евтин братовчед на Moto X, който ще струва 179 долара за 8GB модел и 199 долара за 16GB модел. Прочетете още е страхотен бюджетен телефон, произведен от производител, на когото можете да се доверите. Можете да го получите в Amazon само за 110 долара. Като допълнителен бонус, Motorola са доста бързи, когато става въпрос за издаване на актуализации на софтуера, което Huawei определено не е.

Ако не можете да си позволите да надстроите, би било разумно да направите някои прости предпазни мерки за сигурност. Първо, опитайте се да избягвате изтеглянето на софтуер от непочтителни източници. Избягвайте да изтегляте пиратски приложения Пропукани приложения и игри за Android: Прочетете това преди да изтеглитеСтатистиката не лъже: повечето зловреден софтуер за Android идва извън Google Play. Изтеглянето на напукани приложения - или всякакъв тип приложение - от сенчест уебсайт или неблагонадежден магазин на приложения на трети страни е начинът, по който ... Прочетете още и “изделия“ като чумата. Придържайте се към магазина на Google Play.

Вероятно много от засегнатите потребители ще бъдат базирани в Китай, където магазинът на Google Play не е достъпен. Китайските потребители трябва да имат общо с други алтернативни магазини за приложения Четирите най-добри алтернативи на Google Play за изтегляне на приложения за AndroidНе искате да използвате Google Play Store? Или нямате достъп до него? Ето най-добрите алтернативни магазини за приложения за Android. Прочетете още , много от които не са толкова бдителни при филтрирането на зловреден софтуер, както е Google. Тези потребители ще бъдат посъветвани да бъдат изключително внимателни.

Накратко: Да се ​​страхуваш, но недей!

Тази уязвимост е страшна. Това е страшно, защото е свързано с конфигурирането на определен хардуер. Страшно е, защото няма стъпки, които потребителят може да предприеме, за да остане сигурен.

Но си струва да се подчертае, че по-голямата част от потребителите няма да бъдат засегнати. Той засяга само ограничен брой устройства, които бяха пуснати от шепа производители около 2013 и 2014 г. Повечето хора Трябва бъди добре.

Засегнахте ли се? Ако е така, ще получите ли нов телефон? Или не сте толкова загрижени? Уведомете ме в коментарите по-долу.