Небезопасная реализация механизма обновления технологии Over-the-Air (OTA), используемой многими моделями смартфонов на Android делает уязвимыми почти 3 миллиона устройств к атаке посредника. Это грозит тем, что злоумышленники смогут выполнять произвольные команды с привилегиями суперпользователя.
Проблема заключается в китайской компании, занимающейся программным обеспечением Ragentek Group. Она не использовала зашифрованный канал при работе с третьими сторонами. Специалисты в области безопасности AnubisNetworks утверждают, что эта ошибка не только подвергает информацию пользователя опасности, но и может стать ключевым моментом в создании руткита, который позволит злоумышленникам выполнять команды на целевых устройствах.
Код от Ragentek включает в себя двоичный файл для проверки наличия обновления OTA и несколько методов, скрывающих его выполнение. Расположенный в /system/bin/debugs бинарный файл запускается с правами суперпользователя и осуществляет связь по незащищенным каналам с тремя хостами. Ответы, полученные от удаленного сервера включают в себя функциональные возможности для выполнения произвольных команд в корневом каталоге, код для установки приложения или конфигурации обновления.
Проблема, отслеживаемая под идентификатором заключается в том, что удаленный злоумышленник может провести атаку посредника (Man in the Middle), подменить ответы сервера и выполнять произвольные команды с правами суперпользователя на устройстве.
, затронуты смартфоны следующих производителей: BLU Products, Infinix Mobility, DOOGEE, LEAGOO, IKU Mobile, Beeline и XOLO. BLU Products уже выпустили обновление программного обеспечения, где эта уязвимость была устранена, однако устройства остальных производителей все еще могут быть в опасности.
Исследователи AnubisNetworks ошибку, используя устройство BLU Studio G. В ходе анализа удалось обнаружить, что передача незашифрованных данных начинается во время процесса первой настройки устройства.
Исследователи также отмечают любопытный момент – факт запущенных процессов “/system/bin/debugsrun” и “/system/bin/debugs” скрывается. Более глубокий анализ показал, что структура Java тоже был изменена, чтобы скрыть ссылки на этот процесс.
На данный момент эксперты не уверены в чем причина того, что автор пожелал скрыть присутствие двух этих процессов.
Если после июньского обновления Windows 11 вы заметили в Event Viewer странное предупреждение от файрвола, не паникуйте. Microsoft уже подтвердила: ошибка ложная, поэтому её можно просто игнорировать.
Речь идёт о сообщении Event 2042 с текстом «Config Read Failed» и «More data is available». Такое появляется после установки обновления KB5060829 (превью за июнь 2025 года) и касается только систем с Windows 11 24H2.
По словам Microsoft, ошибка связана с новой функцией, которая пока находится в разработке и ещё не до конца встроена в систему. Тем не менее файрвол работает штатно, а дополнительных действий не требуется.
«Эта запись в журнале не указывает на реальные проблемы с безопасностью. Её можно смело игнорировать», — пишет Microsoft.
Корпорация уже готовит фикс и обещает сообщить подробности, как только они появятся.
Кстати, это уже не первый случай за последние месяцы. В апреле Microsoft устраняла баг BitLocker, который появился из-за сбоя в отчётности, а не из-за реальной угрозы. Тогда же была устранена другая проблема — ошибочный код 0x80070643, возникавшая при установке обновлений Windows Recovery Environment.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
