Flere Android-smarttelefoner og nettbrett drevet av MediaTek-brikkesett er sårbar overfor sikkerhetsangrep på grunn av en software bug. Feilen, hvis de utnyttes, gjør det mulig for en angriper å sanke private data, inkludert bilder, kontakter, og også eksternt overvåke all trafikk. Den Kinesiske chipmaker bekreftet eksistensen av sårbarhet for Gadgets360, og la til at sikkerheten team jobber med saken.
Justin Case, en sikkerhet forsker rapportert om sårbarheten på Twitter tidligere denne måneden. Forklare sårbarhet, Sak fortalte Gadgets360 at MediaTek programvare har en “bakdør” som gjør at en bruker – eller en ondsinnet app – for å aktivere root-tilgang. Problemet, som Tilfellet er forklart, er en bruker eller en ondsinnet app kan endre vanligvis begrenset og lese bare egenskaper på enheten, som “kan trivially fører til opptrapping av privilegier til brukeren root.”
“Root-brukeren kan gjøre mange ting, slik som å få tilgang til data normalt beskyttet fra bruker/ andre apper, eller murstein telefonen, eller spionere på brukeren, overvåke kommunikasjon osv,” Case fortalte Gadgets 360 via e-post.
Taiwan-basert MediaTek, som chips power flere populære Android-telefoner, fortalte oss at sikkerhetsbrudd på enheter som kjører Android 4.4 KitKat. Forklare hvordan sårbarheten fikk det i første omgang, MediaTek sa at en debug-funksjonen ble opprettet for telekommunikasjon inter-operabilitet testing hovedsakelig i Kina. Smartphone produsenter, men ikke deaktivere debug-funksjonen før du sender smarttelefoner, selskapet lagt til. MediaTek ikke offentliggjøre navnene på de produsenter.
“Vi er klar over dette problemet, og det har vært anmeldt av MediaTek security team. Det ble hovedsakelig funnet i enheter som kjører Android 4.4 KitKat, på grunn av en de-bug-funksjonen er opprettet for telekommunikasjon inter-operabilitet testing i Kina,” et MediaTek talsmann fortalte Gadgets 360 i en e-post uttalelse. “Etter testing, telefon produsenter bør deaktivere de-bug-funksjonen før du sender smarttelefoner. Men, etter en undersøkelse fant vi at et par telefonen produsenter ikke deaktivere funksjonen, noe som resulterer i denne potensielt sikkerhetsproblem.”
Sak bemerkes at lese-bare egenskaper – ro.egenskaper – bør ikke endres etter oppstart av enheten, men MediaTek har “‘nerved’ holderen plass, de har gjort det slik at disse egenskapene kan endres, og endres av noen/app. En ondsinnet app kan angi ‘ro.sikker’ eiendom til 0, ro.debuggable til 1, ro.adb.sikre støtte til 0 (dette ville bety ADB ikke trenger godkjenning) og deretter aktivere den ADB over Wi-Fi eiendom, og få en lokal root shell.”
MediaTek nektet å angi smarttelefonen modeller og antall telefoner som er påvirket. Selskapet insisterer på at problemet påvirker bare visse produsenter, og det har begynt å varsle dem. “Mens dette problemet førte til at enkelte produsenter, er det også bare berørt en del av enheter for de produsenter. Vi har tatt skritt for å varsle alle produsenter og minne dem om denne viktige funksjonen.”
Last ned Gadgets 360-app for Android og iOS for å holde deg oppdatert med den nyeste tech nyheter, produkt
anmeldelser og eksklusive tilbud på de populære mobiler.