Flera Android-smartphones och surfplattor som drivs av MediaTek chipset är sårbara för angrepp på grund av ett fel. Felet, om den utnyttjas, gör det möjligt för en angripare att få fram privat information, inklusive foton, kontakter, och även på distans övervaka all trafik. Den Kinesiska chipmaker bekräftade förekomsten av sårbarheten för Gadgets360, och tillade att dess säkerhet team arbetar på problemet.
Justin Case, en säkerhet forskare rapporterade om sårbarhet på Twitter tidigare denna månad. Förklara sårbarhet i Mål berättade Gadgets360 att MediaTek software har en “bakdörr” som gör att en användare – eller en skadlig app – för att aktivera root-tillgång. Problemet, som Fallet förklaras, är en användare eller en skadlig app kan ändra vanligen begränsad och bara läsa fastigheter på enheten, som “kan trivialt leda till utökning av privilegier till root-användaren.”
“Root-användaren kan göra många saker, till exempel tillgång till uppgifter som normalt skyddas från användaren/ andra appar eller tegel telefonen, eller spionera på användaren, övervaka kommunikation etc,” Fallet berättade Prylar 360 via e-post.
Taiwan-baserade MediaTek, vars marker makt flera populära Android-telefoner, berättade för oss att det finns ett säkerhetsproblem på enheter som kör Android 4.4 KitKat. Förklara hur sårbarheten fick det i första hand, MediaTek sade att en debug-funktionen skapades för telekommunikation samverkan provning främst i Kina. Smartphone-tillverkare, dock inte inaktivera debug-funktionen innan du skickar smartphones, företaget till. MediaTek inte avslöja namnen på tillverkarna.
“Vi är medvetna om problemet och har granskats av mediateks security team. Det var främst finns i enheter som kör Android 4.4 KitKat, på grund av en de-bugg har skapats för telekommunikation samverkan tester i Kina”, en MediaTek talesperson berättade Prylar 360 i ett uttalande via e-post. “Efter tester, tillverkare av mobiltelefoner bör du inaktivera de-bugg har innan leverans smartphones. Men efter undersökningen, fann vi att några tillverkare av mobiltelefoner inte inaktivera funktionen, vilket resulterade i detta potentiella säkerhetsproblem.”
Fallet noteras att läsa-bara egenskaper – ro.egenskaper bör inte ändras efter att starta upp enheten, men MediaTek har “‘nerved” äganderätt, de gjorde det så att dessa egenskaper kan ha förändrats, och förändras av vem som helst/app. En illasinnad app kan ställa in ‘ro.säkra egendom till 0, ro.debuggable till 1, ro.adb.säkra prop 0 (detta skulle innebära att ADB inte behöver autentisering) och sedan aktivera ADB över Wi-Fi-egendom, och få en lokal root shell.”
MediaTek avböjt att ange smartphone-modeller och antalet telefoner som är negativt. Bolaget vidhåller att problemet bara drabbar vissa tillverkare och det har börjat varna dem. “Även om denna fråga påverkas av vissa tillverkare, det är också bara drabbade en del av enheterna för dessa tillverkare. Vi har vidtagit åtgärder för att varna alla tillverkare och påminna dem om denna viktiga funktion.”
Ladda ner Prylar 360 app för Android och iOS för att hålla dig uppdaterad med de senaste tekniska nyheterna, produkt
recensioner och exklusiva erbjudanden på populära mobiler.