reklama
Lákání levného smartphonu může být těžké odolat, zejména proto, že je nyní téměř stejně schopné jako dražší modely. Z tohoto důvodu jsou původně neznámí čínští výrobci jako Huawei a Xiaomi rychle předjíždět Proč by váš další chytrý telefon s Androidem měl být čínskýČínská smartphony si už léta získala špatnou pověst, ale tady je důvod, proč byste ji měli opravdu zvážit. Přečtěte si více více zavedené, prémiové výrobce, jako jsou Samsung, Sony a dokonce i Apple.
Ale stejně jako ve všech věcech dostanete to, za co platíte. Nedávno objevená zranitelnost v mnoha rozpočtových čínských telefonech, která by mohla útočníkovi umožnit získat přístup root, dokazuje tento modus. Zde je to, co potřebujete vědět.
Porozumění útoku
Mnoho telefonů provozuje SoC (Systém na čipu Jargon Buster: Průvodce porozuměním mobilním procesorůmV této příručce projdeme žargon, abychom vysvětlili, co potřebujete vědět o procesorech smartphonu. Přečtěte si více ) postavené na tchajwanském MediaTeku, který je jedním z největších výrobců polovodičů na světě. V roce 2013 vyrobili fenomenální 220 milionů smartphonů. Jedním z jejich největších prodejců je MT6582, který se používá v řadě chytrých telefonů nižší třídy, přičemž mnoho z nich vyrábí čínští výrobci jako Lenovo a Huawei.
MT6582 přichází s povoleným nastavením ladění, které bylo podle výrobce použito k testování „telekomunikační interoperability“ v Číně.
Ačkoli to bylo nutné, aby MediaTek skutečně navrhl čip a zajistil, aby řádně fungoval, ponechání na spotřebitelském zařízení představuje pro spotřebitele neuvěřitelné bezpečnostní riziko. Proč? Protože umožňuje útočníkovi nebo škodlivému softwaru získat kořenový přístup k telefonu.
Mediatek proto porušil základní bezpečnostní funkce, aby mohl mít tuto backdoor práci. Vlastnosti jen pro čtení NEJSOU číst! pic.twitter.com/pEjtMNpo9v
- Justin Case (@jcase) 13. ledna 2016
Z toho budou moci upravovat a mazat důležité systémové soubory a nastavení, špehovat uživatele a instalovat další malware bez souhlasu uživatele. Pokud by útočník chtěl, mohl by telefon i zděný, takže by byl trvale nepoužitelný.
Podle Registru lze tuto chybu zabezpečení provést pouze na telefonech s verzí 4.4 KitKat operačního systému Android.
Zjištění této chyby zabezpečení vyplývá z podobné chyby zjištěné v klíčence operačního systému verze 3.8 Linuxového jádra, které bylo zveřejněné vědci v lednu Tato šílená chyba v systému Linux poskytuje každému přístup ke kořenovému adresáři do vaší schránky Přečtěte si více . Při zneužití by tato chyba zabezpečení umožnila útočníkovi získat kořenový přístup k počítači.
Tato chyba zabezpečení ovlivnila prakticky každou distribuci systému Linux i několik telefonů se systémem Android. Naštěstí byla oprava rychle vydána.
Položte vidle
Přestože jsou ovlivněny zejména telefony od společností Lenovo a Huawei, neměli byste jim to vyčítat. I když se to může zdát přitažlivé, vzhledem k tomu, že někteří z těchto výrobců mají historii nesprávných bezpečnostních opatření.
Lenovo je za to obzvláště vinen. V roce 2014 porušili SSL pro všechny své uživatele s SuperFish Pozor na majitele notebooků Lenovo: Zařízení může mít předinstalovaný malwareČínský výrobce počítačů Lenovo připustil, že notebooky dodávané do obchodů a spotřebitelé na konci roku 2014 měli předinstalovaný malware. Přečtěte si více . Pak zatěžovali své notebooky neodstranitelný malware založený na BIOSu. Pak nainstalovali a strašidelný, velký bratrský analytický program Nyní je na počítačích Lenovo notebooků nainstalováno tři předinstalované malwareJiž potřetí v roce byli Lenovo chyceni v počítačích s naloženými zákazníky malware, nepřátelský malware, který ukazuje, že se nepoučili poučení z veřejného protestu Superfish. Přečtěte si více na jejich špičkových stolních počítačích ThinkPad a ThinkCenter.
Ale tady jsou jejich ruce čisté. Výjimečně. Vina leží přímo u dveří MediaTeku, který odeslal tyto čipy výrobcům s povoleným nastavením.
Jsem ovlivněn?
Je třeba zdůraznit, že tato chyba zabezpečení nebude mít stejný dosah jako výše uvedená chyba zabezpečení systému Linux. Tuto chybu zabezpečení lze najít pouze u telefonů provozovaných na čipové sadě, které nebyly odeslány na žádné telefony vydané v letech 2015 a 2016.
Lze jej také spustit pouze na telefonech s velmi specifickou verzí systému Android, která přestože běží na přibližně jedné třetině telefonů s Androidem, není v žádném případě všudypřítomná.
Přesto je pravděpodobně dobré zkontrolovat, zda je váš telefon zranitelný. Když se to stane, mám vlastní čínský rozpočet - Huawei Honor 3C, což bylo moje hlavní zařízení, dokud jsem v srpnu neskočil na Windows Phone.
Nejdříve jsem se podíval na zařízení GSMArena. To je v podstatě Encyklopedie Britannica telefonů. Pokud jej hlavní výrobce vydal, tento web o něm poskytne důkladnou statistiku. Informace o použité čipové sadě naleznete níže Plošina. Jistě, můj telefon Huawei obsahuje to.
Takže se musím podívat, jestli provozuji postiženou verzi Androidu. otevřel jsem Nastavení, a potom ťukl O telefonu. To se však může pro váš telefon trochu lišit. Výrobci jsou známí přizpůsobením nabídky nastavení.
Naštěstí na mém telefonu běží systém Android 4.2 Jellybean, který touto zranitelností není ovlivněn, přestože je dlouho v zubu.
Pokud jste postiženi
I když jsem měl docela štěstí, je bezpečné předpokládat, že to bude ovlivněno miliony telefonů. Pokud ano, měli byste si koupit nový telefon.
Motorola Moto G Moto G je zde oficiálně za pouhých 179 dolarů UnlockedSpolečnost Motorola právě oznámila rumored Moto G, levnější bratranec pro Moto X, který bude stát 179 dolarů za model 8 GB a 199 dolarů za model 16 GB. Přečtěte si více je skvělý levný telefon vyrobený výrobcem, kterému můžete věřit. Jeden můžete získat na Amazonu za pouhých 110 USD. Jako bonus navíc jsou Motorola poměrně rychlé, pokud jde o vydávání aktualizací softwaru, což Huawei rozhodně není.
Pokud si nemůžete dovolit upgradovat, bylo by moudré učinit několik jednoduchých bezpečnostních opatření. Nejprve se pokuste vyhnout stahování softwaru z pochybných zdrojů. Vyhněte se stahování pirátských aplikací Prasklé aplikace a hry pro Android: Přečtěte si toto před staženímStatistiky nelžou: Většina malwaru pro Android pochází mimo Google Play. Stahování prasklých aplikací - nebo jakéhokoli typu aplikace - ze stinných webových stránek nebo nedůvěryhodného obchodu s aplikacemi třetích stran je tím nejlepším ... Přečtěte si více a “warez“ jako mor. Držte se obchodu Google Play.
Je pravděpodobné, že mnoho dotčených uživatelů bude sídlit v Číně, kde obchod Google Play není k dispozici. Čínští spotřebitelé se musí vyrovnat s ostatními alternativní obchody s aplikacemi 4 nejlepší alternativy Google Play pro stahování aplikací pro AndroidNechcete používat obchod Google Play? Nebo k tomu nemáte přístup? Zde jsou nejlepší alternativní obchody s aplikacemi pro Android. Přečtěte si více , z nichž mnozí nejsou tak ostražití při odfiltrování malwaru, jako je Google. Těmto spotřebitelům by mělo být věnováno zvláštní opatrnosti.
Zkrátka: Nebojte se, ale nebojte se
Tato chyba zabezpečení je děsivá. Je to děsivé, protože se odvíjí od konfigurace konkrétního hardwaru. Je to děsivé, protože neexistují žádné kroky, které by spotřebitel mohl podniknout, aby zůstal v bezpečí.
Je však třeba zdůraznit, že to nebude mít dopad na většinu spotřebitelů. Ovlivňuje to pouze omezený počet zařízení, která byla vydána hrstkou výrobců kolem roku 2013 a 2014. Většina lidí by měl být v pohodě.
Byli jste ovlivněni? Pokud ano, dostanete nový telefon? Nebo nejste všichni, kterých se to týká? Dejte mi vědět v komentářích níže.
Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.
