Небезопасная реализация механизма обновления технологии Over-the-Air (OTA), используемой многими моделями смартфонов на Android делает уязвимыми почти 3 миллиона устройств к атаке посредника. Это грозит тем, что злоумышленники смогут выполнять произвольные команды с привилегиями суперпользователя.
Проблема заключается в китайской компании, занимающейся программным обеспечением Ragentek Group. Она не использовала зашифрованный канал при работе с третьими сторонами. Специалисты в области безопасности AnubisNetworks утверждают, что эта ошибка не только подвергает информацию пользователя опасности, но и может стать ключевым моментом в создании руткита, который позволит злоумышленникам выполнять команды на целевых устройствах.
Код от Ragentek включает в себя двоичный файл для проверки наличия обновления OTA и несколько методов, скрывающих его выполнение. Расположенный в /system/bin/debugs бинарный файл запускается с правами суперпользователя и осуществляет связь по незащищенным каналам с тремя хостами. Ответы, полученные от удаленного сервера включают в себя функциональные возможности для выполнения произвольных команд в корневом каталоге, код для установки приложения или конфигурации обновления.
Проблема, отслеживаемая под идентификатором заключается в том, что удаленный злоумышленник может провести атаку посредника (Man in the Middle), подменить ответы сервера и выполнять произвольные команды с правами суперпользователя на устройстве.
, затронуты смартфоны следующих производителей: BLU Products, Infinix Mobility, DOOGEE, LEAGOO, IKU Mobile, Beeline и XOLO. BLU Products уже выпустили обновление программного обеспечения, где эта уязвимость была устранена, однако устройства остальных производителей все еще могут быть в опасности.
Исследователи AnubisNetworks ошибку, используя устройство BLU Studio G. В ходе анализа удалось обнаружить, что передача незашифрованных данных начинается во время процесса первой настройки устройства.
Исследователи также отмечают любопытный момент – факт запущенных процессов “/system/bin/debugsrun” и “/system/bin/debugs” скрывается. Более глубокий анализ показал, что структура Java тоже был изменена, чтобы скрыть ссылки на этот процесс.
На данный момент эксперты не уверены в чем причина того, что автор пожелал скрыть присутствие двух этих процессов.
Как заявил заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов, администрация Telegram сотрудничает с российскими властями, поэтому блокировка мессенджера ему не угрожает.
«Считаю, что Telegram достаточно эффективно взаимодействует с правительствами большинства стран мира, в том числе и с Россией. Поэтому за судьбу Telegram, думаю, можно не беспокоиться», — прокомментировал парламентарий в беседе с ТАСС.
В отношении другого популярного мессенджера — WhatsApp (принадлежит корпорации Meta, признанной в России экстремистской организацией и запрещённой) — Андрей Свинцов ранее высказал прогноз о его полной блокировке до конца 2026 года.
Кроме того, Роскомнадзор 15 января официально заявил, что не видит оснований для снятия ограничений на работу WhatsApp в России. Напомним, ещё в августе в WhatsApp и Telegram были заблокированы голосовые вызовы, а в ноябре регулятор сообщил о «последовательном усилении» ограничительных мер.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
