Annuncio pubblicitario

Il fascino di uno smartphone economico può essere difficile resistere, soprattutto perché ora sono quasi capaci quanto i modelli più costosi. È per questo motivo che lo sono produttori cinesi precedentemente sconosciuti come Huawei e Xiaomi sorpasso rapido Perché il tuo prossimo smartphone Android dovrebbe essere cinesePer anni, gli smartphone cinesi hanno ottenuto una cattiva reputazione, ma ecco perché dovresti davvero prendere in considerazione di ottenerne uno ora. Leggi di più produttori più affermati e premium, come Samsung, Sony e persino Apple.

Ma, come in tutte le cose, ottieni ciò per cui paghi. Una vulnerabilità recentemente scoperta in molti telefoni cinesi a basso costo, che potrebbe consentire a un utente malintenzionato di ottenere l'accesso come root, dimostra questo modus. Ecco cosa devi sapere.

Capire l'attacco

Molti telefoni eseguono SoC (Sistema su chip Jargon Buster: la guida alla comprensione dei processori mobiliIn questa guida, analizzeremo il gergo per spiegare cosa devi sapere sui processori per smartphone. Leggi di più

instagram viewer
) costruito da MediaTek con sede a Taiwan, che è uno dei maggiori produttori di semiconduttori al mondo. Nel 2013, hanno prodotto un fenomenale 220 milioni di chip per smartphone. Uno dei loro più grandi venditori è l'MT6582, che viene utilizzato in numerosi smartphone di fascia bassa, molti dei quali prodotti da produttori cinesi come Lenovo e Huawei.

L'MT6582 è stato dotato di un'impostazione di debug abilitata, che secondo il produttore è stata utilizzata per testare l'interoperabilità delle telecomunicazioni in Cina.

Sebbene ciò fosse necessario per consentire a MediaTek di progettare effettivamente il chip e garantirne il corretto funzionamento, lasciarlo su un dispositivo consumer rappresenta un incredibile rischio per la sicurezza dei consumatori. Perché? Perché consente a un utente malintenzionato o a un software dannoso di ottenere l'accesso root al telefono.

Quindi Mediatek ha rotto le funzionalità di sicurezza di base per far funzionare questo backdoor. Le proprietà di sola lettura NON sono di sola lettura! pic.twitter.com/pEjtMNpo9v

- Justin Case (@jcase) 13 gennaio 2016

Da ciò, sarebbero in grado di modificare ed eliminare file e impostazioni di sistema importanti, spiare l'utente e installare ancora più malware senza il consenso dell'utente. Se un utente malintenzionato lo desiderasse, potrebbe persino murare il telefono, rendendolo permanentemente inutilizzabile.

Secondo The Register, questa vulnerabilità può essere eseguita solo su telefoni che eseguono la versione 4.4 KitKat del sistema operativo Android.

La scoperta di questa vulnerabilità segue un difetto simile riscontrato nel portachiavi del sistema operativo della versione 3.8 del kernel Linux, che era divulgato dai ricercatori a gennaio Questo difetto folle in Linux offre a chiunque l'accesso root alla tua scatola Leggi di più . Se sfruttata, questa vulnerabilità avrebbe consentito a un utente malintenzionato di ottenere l'accesso root alla macchina.

Questa vulnerabilità ha interessato praticamente ogni distribuzione di Linux, nonché una pluralità di telefoni Android. Per fortuna, è stata emessa rapidamente una correzione.

Metti giù le forche

Sebbene i telefoni di Lenovo e Huawei siano particolarmente colpiti, non dovresti incolparli. Anche se può sembrare attraente, dato che alcuni di questi produttori hanno una storia di irregolarità legate alla sicurezza.

Lenovo è particolarmente colpevole di questo. Nel 2014, hanno rotto SSL per tutti i loro utenti con SuperFish Proprietari dei laptop Lenovo Attenzione: il dispositivo potrebbe avere malware preinstallatoIl produttore cinese di computer Lenovo ha ammesso che i laptop spediti ai negozi e ai consumatori alla fine del 2014 avevano malware preinstallato. Leggi di più . Quindi hanno caricato i loro laptop con malware non rimovibile basato su BIOS. Quindi hanno installato a raccapricciante programma di analisi in stile Grande Fratello Ora sono TRE malware preinstallati sui laptop LenovoPer la terza volta in un anno, Lenovo è stata sorpresa a spedire i clienti con i computer carichi malware dannoso per la privacy, a dimostrazione del fatto che non hanno imparato le lezioni dalle proteste del pubblico Superfish. Leggi di più sui desktop ThinkPad e ThinkCenter di fascia alta.

Ma qui, le loro mani sono pulite. Per una volta. La colpa è esattamente alla porta di MediaTek, che ha spedito questi chip ai produttori con questa impostazione abilitata.

Sono interessato?

Vale la pena sottolineare che questa vulnerabilità non avrà la stessa portata della suddetta vulnerabilità di Linux. La vulnerabilità si riscontra solo sui telefoni in esecuzione su un chipset che non sono stati spediti su alcun telefono rilasciato nel 2015 e 2016.

Può anche essere eseguito solo su telefoni che eseguono una versione molto specifica di Android, che nonostante funzioni su circa un terzo dei telefoni Android, non è affatto onnipresente.

Nonostante ciò, è probabilmente una buona idea verificare se il tuo telefono è vulnerabile. In questo caso, possiedo un telefono cinese economico: un Huawei Honor 3C, che era il mio dispositivo principale fino a quando non sono passato alla Windows Phone in agosto.

HuaweiHonorC3

Per prima cosa, ho cercato il dispositivo GSMArena. Questo è essenzialmente il Enciclopedia Britannica di telefoni. Se un importante produttore lo rilasciasse, questo sito Web fornirà statistiche approfondite al riguardo. Informazioni sul chipset utilizzato sono disponibili sotto piattaforma. Abbastanza sicuro, il mio telefono Huawei lo contiene.

MediaTekGSMArena

Quindi, quindi ho bisogno di vedere se sto eseguendo la versione interessata di Android. ho aperto impostazionie quindi toccato Info sul telefono. Questo potrebbe essere un po 'diverso per il tuo telefono però. I produttori sono noti per personalizzare il menu delle impostazioni.

impostazioni

Fortunatamente, il mio telefono esegue Android 4.2 Jellybean, che nonostante sia lungo nel dente, non è interessato da questa vulnerabilità.

Se sei interessato

Anche se sono stato piuttosto fortunato, è sicuro supporre che milioni di telefoni ne saranno interessati. Se lo sei, sarebbe saggio acquistare un nuovo telefono.

Il Motorola Moto G La Moto G è ufficialmente qui a soli $ 179 sbloccataMotorola ha appena annunciato il rumoroso Moto G, un cugino più economico della Moto X che costerà $ 179 per il modello da 8 GB e $ 199 per il modello da 16 GB. Leggi di più è un ottimo telefono economico, prodotto da un produttore di cui ti puoi fidare. Puoi averne uno su Amazon per soli $ 110. Come ulteriore vantaggio, Motorola è piuttosto veloce quando si tratta di emettere aggiornamenti software, cosa che Huawei sicuramente non lo è.

Se non puoi permetterti di eseguire l'upgrade, dovresti prendere alcune semplici precauzioni di sicurezza. Innanzitutto, cerca di evitare di scaricare software da fonti non affidabili. Evita di scaricare app piratate App e giochi Android non funzionanti: leggi prima di scaricareLe statistiche non mentono: la maggior parte dei malware per Android proviene dall'esterno di Google Play. Il download di app crackate o di qualsiasi tipo di app da un sito Web ombreggiato o da un app store di terze parti inaffidabile è il modo in cui la maggior parte ... Leggi di più e warez come la peste. Attenersi al Google Play Store.

È probabile che molti degli utenti interessati risiedano in Cina, dove il Google Play Store non è disponibile. I consumatori cinesi devono accontentarsi di altri app store alternativi Le 4 migliori alternative a Google Play per il download di app AndroidNon vuoi utilizzare il Google Play Store? O non hai accesso ad esso? Ecco i migliori app store alternativi per Android. Leggi di più , molti dei quali non sono così vigili nel filtrare i malware come lo è Google. Si consiglia ai consumatori di prestare particolare attenzione.

In breve: abbi paura, ma non farlo

Questa vulnerabilità fa paura. È spaventoso perché deriva da come è configurato un particolare hardware. Fa paura perché non ci sono passi che un consumatore può fare per rimanere al sicuro.

Ma vale la pena sottolineare che la maggior parte dei consumatori non sarà interessata. Colpisce solo un numero limitato di dispositivi, che sono stati rilasciati da una manciata di produttori tra il 2013 e il 2014. Molte persone dovrebbero Stammi bene.

Sei stato colpito? In tal caso, riceverai un nuovo telefono? O non sei così preoccupato? Fammi sapere nei commenti qui sotto.

Matthew Hughes è uno sviluppatore e scrittore di software di Liverpool, in Inghilterra. Raramente si trova senza una tazza di caffè nero forte in mano e adora assolutamente il suo Macbook Pro e la sua fotocamera. Puoi leggere il suo blog all'indirizzo http://www.matthewhughes.co.uk e seguilo su Twitter su @matthewhughes.