Ką tu turi žinoti
- „Microsoft“ atskleidė rimtus pažeidžiamumus iš anksto įdiegtose „Android“ programose, kurias atsisiunčiama milijonais.
- Saugumo trūkumai galėjo leisti užpuolikams patekti į užpakalines duris arba valdyti milijonus įrenginių.
- „Google“ ir kitos suinteresuotosios šalys jau ištaisė pažeidžiamumą.
Daugybė rimtų saugos trūkumų mobiliojoje sistemoje, naudojamoje įvairių mobiliojo ryšio paslaugų teikėjų iš anksto įdiegtoms „Android“ programoms, galėjo sukelti pavojų milijonams įrenginių. „Microsoft“ turi atskleidė šiuos pažeidžiamumus, kurios nuo to laiko buvo pataisytos.
Paveiktą mobiliojo ryšio sistemą sukūrė „mce Systems“, Izraelyje įsikūręs daugiakanalio įrenginio gyvavimo ciklo valdymo tiekėjas. „Microsoft“ teigė, kad iš pradžių saugumo trūkumus aptiko 2021 m. rugsėjį ir apie savo išvadas informavo „mce Systems“ bei paveiktus mobiliojo ryšio paslaugų teikėjus.
„Microsoft“ nustatė, kad pažeidžiamumas yra CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 ir CVE-2021-42601, kurių balas yra 7,0–8,9 (didelio sunkumo).
Pažeidžiamumas paveikė programas su milijonais atsisiuntimų, todėl naudotojai galėjo patekti į nuotolines arba vietines atakas. „Microsoft 365 Defender Research Team“ teigimu, trūkumai galėjo suteikti užpuolikams prieigą prie užpakalinių durų arba leisti jiems „iš esmės valdyti“ pažeidžiamus įrenginius.
„Mūsų analizė taip pat nustatė, kad programos buvo įterptos į įrenginių sistemos vaizdą, o tai rodo, kad tai buvo numatytosios programos, kurias įdiegė telefono paslaugų teikėjai“, – paaiškino „Microsoft“. „Visos programos yra pasiekiamos „Google Play“ parduotuvėje, kurioje atliekamos automatinės „Google Play Protect“ saugos patikros, tačiau anksčiau šios patikros nebuvo nuskaitomos dėl tokio tipo problemų.
Saugos trūkumai buvo pataisyti po to, kai „Microsoft“ dirbo su „mce Systems“ ir „Google“. „Android Central“ susisiekė su „Google“ dėl komentaro ir atnaujins šį straipsnį, kai gausime atsakymą.
Laimei, šiuo metu nėra jokių įrodymų, rodančių, kad pažeidžiamumas buvo išnaudotas laukinėje gamtoje. Tačiau „Microsoft“ įspėja, kad pažeidžiama sistema vis dar gali egzistuoti kitų telekomunikacijų įmonių programose.
„Buvo rasta keletas kitų mobiliojo ryšio paslaugų teikėjų, naudojantys pažeidžiamą sistemą su atitinkamomis programėlėmis kad gali būti papildomų neatrastų tiekėjų, kurie gali turėti įtakos“, – sakė Redmonde įsikūrusi programinės įrangos milžinė.
„Microsoft“ tai pridūrė Google Play Protect dabar ieško tokio tipo pažeidžiamumų.
Be to, jame pabrėžiama rizika, susijusi su iš anksto įdiegtomis programomis, kurios pristatomos kartu su daugeliu šiandieninių geriausi Android telefonai ir jų neįmanoma pašalinti be root prieigos.
„Google Pixel 6 Pro“.
„Google Pixel 6 Pro“ yra puikus „Android“ įrenginys, pasižymintis elegantišku dizainu ir įspūdingu našumu. Jame taip pat yra universali fotoaparato sąranka su atnaujinta aparatūra, užtikrinančia, kad visada gautumėte geriausias nuotraukas.