Din kinesiske smarttelefon kan ha et alvorlig sikkerhetsproblem

Annonse

Turen til en billig smarttelefon kan være vanskelig å motstå, spesielt fordi de nå er like kapable som dyrere modeller. Det er av denne grunnen tidligere kjente kinesiske produsenter som Huawei og Xiaomi raskt forbikjøring Hvorfor din neste Android-smarttelefon skal være kinesiskI årevis har kinesiske smarttelefoner fått et dårlig rykte, men det er derfor du virkelig bør vurdere å skaffe deg en nå. Les mer mer etablerte premiumprodusenter, som Samsung, Sony og til og med Apple.

Men som i alle ting får du det du betaler for. En nylig oppdaget sårbarhet i mange budsjettkinesiske håndsett, som kan tillate en angriper å få rottilgang, beviser at modus. Dette er hva du trenger å vite.

Forstå angrepet

Mange telefoner kjører SoC-er (System on Chip Jargon Buster: Veiledningen for å forstå mobile prosessorerI denne guiden vil vi kutte gjennom sjargongen for å forklare hva du trenger å vite om smarttelefonprosessorer. Les mer ) bygget av taiwanesisk baserte MediaTek, som er en av de største halvlederprodusentene i verden. I 2013 produserte de en fenomenal 220 millioner smarttelefonbrikker. En av deres største selgere er MT6582, som brukes i en rekke avanserte smarttelefoner, med mange av dem produsert av kinesiske produsenter som Lenovo og Huawei.

MT6582 kom med en debug-innstilling aktivert, som ifølge produsenten ble brukt til å teste “interoperabilitet for telekommunikasjon” i Kina.

Selv om dette var nødvendig for at MediaTek faktisk skulle utforme brikken, og for å sikre at den fungerer som den skal, er det en utrolig sikkerhetsrisiko for forbrukerne å forlate den på et forbrukerenhet. Hvorfor? Fordi det lar en angriper, eller en ondsinnet programvare, få rottilgang til telefonen.

Så Mediatek brøt med grunnleggende sikkerhetsfunksjoner for å få dette bakdøren til å fungere. Skrivebeskyttede egenskaper er IKKE skrivebeskyttet! pic.twitter.com/pEjtMNpo9v

- Justin Case (@jcase) 13. januar 2016

Fra dette vil de kunne endre og slette viktige systemfiler og innstillinger, spionere på brukeren og installere enda mer skadelig programvare uten brukerens samtykke. Hvis en angriper ville, kunne de til og med tegne telefonen og gjøre den permanent ubrukelig.

I følge registeret kan dette sikkerhetsproblemet bare kjøres på telefoner som kjører versjon 4.4 KitKat av Android-operativsystemet.

Oppdagelsen av dette sikkerhetsproblemet følger en lignende feil som ble funnet i OS-nøkkelring av versjon 3.8 av Linux Kernel, som var avslørt av forskere i januar Denne sinnssyke feilen i Linux gir alle rottilgang til din boks Les mer . Når det utnyttes, ville dette sikkerhetsproblemet gjort det mulig for en angriper å få rotadgang til maskinen.

Dette sikkerhetsproblemet påvirket praktisk talt alle distribusjoner av Linux, så vel som et antall Android-telefoner. Heldigvis ble en løsning raskt utstedt.

Sett ned Pitchforks

Selv om telefoner fra slike som Lenovo og Huawei er spesielt berørt, bør du ikke skylde på dem. Selv om det kan virke tiltalende, har noen av disse produsentene en historie med sikkerhetsrelaterte eiendeler.

Lenovo er spesielt skyldig i dette. I 2014 brøt de SSL for alle brukerne sine med SuperFish Lenovo bærbare PC-eiere Vær forsiktig: Enheten kan ha forhåndsinstallert skadelig programvareDen kinesiske datamaskinprodusenten Lenovo har innrømmet at bærbare datamaskiner som ble sendt til butikker og forbrukere i slutten av 2014, hadde malware forhåndsinstallert. Les mer . Da tynget de bærbare datamaskiner med avtakbar, BIOS-basert malware. Deretter installerte de en skummelt, Big Brother-esque analyseprogram Nå er det TRE forhåndsinstallerte Malwares på Lenovo bærbare datamaskinerFor tredje gang på ett år har Lenovo blitt fanget fraktkunder datamaskiner lastet med malware-uvennlig skadelig programvare, som viser at de ikke har lært leksjonene fra det offentlige skriket Superfish. Les mer på high-end ThinkPad- og ThinkCenter-stasjonære PC-er.

Men her er hendene rene. For en gangs skyld. Skylden ligger rett ved døren til MediaTek, som sendte disse sjetongene til produsentene med denne innstillingen aktivert.

Er jeg berørt?

Det er verdt å påpeke at dette sikkerhetsproblemet ikke vil ha samme rekkevidde som det nevnte Linux-sikkerhetsproblemet. Sårbarheten er bare funnet på telefoner som kjører på et brikkesett som ikke sendes på noen telefoner utgitt i 2015 og 2016.

Det kan også bare kjøres på telefoner som kjører en veldig spesifikk versjon av Android, som til tross for at den kjører på rundt en tredjedel av Android-telefoner, på ingen måte er allestedsnærværende.

Til tross for det, er det sannsynligvis en god idé å sjekke om telefonen din er sårbar. Siden det skjer så eier jeg en budsjettkinesisk telefon - en Huawei Honor 3C, som var hovedenheten til jeg hoppet skipet til Windows Phone i august.

Første ting først, så jeg opp enheten på GSMArena. Dette er egentlig Encyclopedia Britannica av telefoner. Hvis en større produsent ga ut den, vil dette nettstedet gi grundig statistikk om det. Informasjon om brikkesettet som brukes, finner du under Plattform. Visst, Huawei-telefonen min inneholder den.

Så da må jeg se om jeg kjører den berørte versjonen av Android. jeg åpnet innstillinger, og trykk deretter på Om telefonen. Dette kan være litt annerledes for telefonen din. Produsenter er kjent for å tilpasse innstillingsmenyen.

Heldigvis kjører telefonen min Android 4.2 Jellybean, som til tross for at han er lenge i tannen, ikke er påvirket av dette sikkerhetsproblemet.

Hvis du er berørt

Selv om jeg var ganske heldig, er det trygt å anta at millioner av telefoner vil bli berørt av dette. Hvis du er det, vil du være lurt å kjøpe en ny telefon.

De Motorola Moto G Moto G er offisielt her for bare $ 179 ulåstMotorola har nettopp kunngjort ryktet Moto G, en billigere fetter til Moto X som vil koste 179 dollar for 8 GB-modellen og 199 dollar for 16 GB-modellen. Les mer er en flott budsjett-telefon, produsert av en produsent du kan stole på. Du kan få en på Amazon for bare 110 dollar. Som en ekstra bonus er Motorola ganske raske når det gjelder å utstede programvareoppdateringer, noe Huawei absolutt ikke er.

Hvis du ikke har råd til å oppgradere, vil du være lurt å gjøre noen enkle sikkerhetstiltak. Forsøk først å unngå å laste ned programvare fra ubestridelige kilder. Unngå å laste ned piratkopierte apper Knekte Android-apper og -spill: Les dette før du laster nedStatistikken lyver ikke: Det meste av Android-malware kommer fra Google Play. Nedlasting av sprukne apper - eller hvilken som helst type app - fra et lyssky nettsted eller upålitelig tredjeparts app-butikk er måten mest ... Les mer og “warez“ som pesten. Hold deg til Google Play-butikken.

Det er sannsynlig at mange av de berørte brukerne vil være basert i Kina, der Google Play-butikken ikke er tilgjengelig. Kinesiske forbrukere må nøye seg med andre alternative app-butikker De 4 beste Google Play-alternativene for nedlasting av Android-apperVil du ikke bruke Google Play Store? Eller har du ikke tilgang til det? Her er de beste alternative appbutikkene for Android. Les mer , hvorav mange ikke er like årvåke når det gjelder å filtrere ut skadelig programvare som Google. Disse forbrukerne vil bli anbefalt å være ekstra forsiktige.

Kort sagt: Vær redd, men ikke

Denne sårbarheten er skummel. Det er skummelt fordi det er båret av hvordan en bestemt maskinvare er konfigurert. Det er skummelt fordi det ikke er noen skritt en forbruker kan ta for å være sikker.

Men det er verdt å understreke at flertallet av forbrukerne ikke blir berørt. Det påvirker bare et begrenset antall enheter, som ble utgitt av en håndfull produsenter rundt 2013 og 2014. Folk flest bør vær fin.

Ble du påvirket? Hvis ja, vil du få en ny telefon? Eller er du ikke alt det bekymret? Gi meg beskjed i kommentarene nedenfor.