13/08/2018

13/08/2018

Asus, Essential, LG e ZTE na lista dos smartphones vulneráveis de origem


Depois do relato de que há milhões de smartphone que contêm vulnerabilidades "de origem", a empresa de segurança Kryptowire revela alguns dos modelos em concreto, que incluem smartphones da Asus, Essential, LG e ZTE.


Muitas vezes temos pedido aos fabricante para que se foquem em fazer apenas o hardware e deixem de mexericar no Android, e novamente temos mais um caso que nos dá razão.  Alterações feitas ao sistema por parte dos fabricantes adicionam vulnerabilidades que deixam os utilizadores em risco, sendo que nalguns casos se arriscam a dar total controlo do dispositivo a um atacante que os consiga convencer a instalar uma app aparentemente inocente e que nem sequer necessita de pedir permissões especiais que pudessem levantar suspeitas quanto às suas intenções.

Embora ainda não apresente ainda uma lista exaustiva (para dar tempo aos fabricantes afectados para lançarem actualizações), a Kryptowire avança desde já com modelos como:

  • Asus ZenFone V Live - permite o controlo total por parte de um atacante, incluindo captar screenshots e vídeos do que se passa no ecrã, fazer chamadas telefónicas, ler e modificar SMS, etc.
  • ZTE Blade Spark e Blade Vantage - permite o acesso a SMS e registo de chamadas, e também o log de sistema que pode incluir informação como endereços de email, coordenadas GPS, etc.
  • LG G6 - também permite o acesso a este registo de sistema, e também bloquear o acesso de aceder ao smartphone.
  • Essential Phone - permite que um atacante faça um reset de fábrica, apagando todos os dados do smartphone.
Todas estas falhas já foram corrigidas ou estão em processo de o serem, mas há outros fabricantes que ainda não foram referidos, para que tenham tempo para fazerem as correcções. (Sem querer parecer um "arauto da desgraça", o facto de dizerem que estas falhas afectavam milhões de clientes faz-me suspeitar que também a Samsung vá aparecer na lista... mas em breve saberemos.)


A Google, por seu lado, faz questão de referir que todas as falhas encontradas não são referentes ao sistema Android, mas sim a alterações feitas pelos fabricantes nos seus equipamentos. No entanto, a imagem que passa para o público será a de que é o "Android" a ser vulnerável... pelo que se calhar, está na altura de começar a limitar um pouco mais as alterações que os seus parceiros podem fazer ao Android.

0 comments:

Publicar um comentário