Ремонтные мастерские могут взламывать смартфоны при замене дисплея

Олег Иванов 03 Июля 2017 - 09:55

Домашние пользователи

Android

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Средства поиска уязвимостей

Шпионские программы

...

Ремонтные мастерские могут взламывать смартфоны при замене дисплея

Группа исследователей продемонстрировала, как ремонтная мастерская может передавать данные с телефонов Android или заражать их вредоносными программами. Это можно осуществить даже в ходе простой операции по замене дисплея.

Омер Шварц, Амир Коэн, Асаф Шабтай и Йосси Орен, израильские эксперты, на этой неделе предупредили пользователей о том, что производители смартфонов недостаточно продумывают защиту компонентов устройства. Таким образом, даже простой ремонт может вылиться в утечку данных.

Другими словами, нынешние устройства доверяют слишком многим электронным компонентам, считая их легитимными, это может привести к тому, что при замене этих компонентов можно «подсунуть» устройству шпионский модуль. Не имеет значения, включено ли шифрование диска, или программная песочница, если подменена аппаратная часть, то ваши фотографии и другие файлы могут свободно быть удалены или переданы третьим лицам.

Исследователи пишут:

«В отличие от подключаемых драйверов, таких как USB или сетевые драйверы, исходный код подразумевает, что аппаратная часть является легитимной и заслуживает доверия. В результате выполняется очень мало проверок целостности связи между компонентом и основным процессором устройства».

Для подтверждения своей теории, эксперты сделали видео, демонстрирующее простую замену дисплея. Поскольку целевой телефон не выполняет каких-либо проверок безопасности относительно дисплея, исследователи говорят, что новый экран может быть оснащен микроконтроллером, который затем сможет получить доступ к другим компонентам телефона, представляя себя как обычный чип сенсорного экрана.

После замены дисплея исследователи смогли вставлять вредоносные URL-адреса в браузеры, получать и отправлять по электронной почте фотографии с камеры телефона, а также регистрировать и передавать код разблокировки телефона.

Группа экспертов также отметила, что с помощью установленной вредоносной аппаратной части можно отключить компоненты безопасности устройства.

На практике эта уязвимость может позволить злоумышленникам – например, недобросовестной мастерской по ремонту – продавать и устанавливать сенсорные дисплеи, оснащенные специально разработанными контроллерами, которые затем будут собирать пользовательские данные.

Исследователи утверждают, что решение этой проблемы кроется во внедрении производителями дополнительной защиты самого оборудования.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Яков Шпунт 15 Мая 2026 - 10:08

Мошенничество Онлайн-мошенничество Домашние пользователи

Роскачество предупреждает о новой схеме обмана школьников перед ЕГЭ

Роскачество предупредило о новой двухэтапной схеме обмана школьников, сдающих единый госэкзамен (ЕГЭ). Сначала выпускникам за деньги обещают подобрать персональные задания, а за несколько дней до экзамена сообщают, что сделать это не удалось, и предлагают пройти экспресс-подготовку — тоже платно.

В итоге мошенники получают деньги дважды, а школьники рискуют остаться неподготовленными за считаные дни до экзамена. О новой схеме, связанной с обещаниями успешной сдачи ЕГЭ, сообщило РИА Новости со ссылкой на Центр цифровой экспертизы Роскачества.

Главная опасность заключается в том, что выпускники, надеясь «купить» баллы, перестают готовиться и могут прийти на экзамен без необходимых знаний.

На первом этапе злоумышленники предлагают выпускнику «пакет гарантированной страховки». Он якобы включает персонализированный вариант контрольно-измерительных материалов (КИМ), а ответы обещают прислать на телефон, который нужно будет пронести на экзамен. Стоимость такого пакета составляет около 1,5–2 тыс. рублей.

Однако за сутки до экзамена жертва получает видеоинструкцию, в которой сообщается, что Рособрнадзор ужесточил контроль, поэтому передавать настоящие ответы сейчас слишком рискованно. Вместо этого выпускнику предлагают пройти экспресс-курсы уже за 5 тыс. рублей. Там якобы дают методики быстрого запоминания и навыки решения типовых задач. При согласии мошенники отправляют «пустышку» или решения заданий прошлых лет.

«Злоумышленники не просто продают фальшивые ответы, а используют психологию, чтобы заработать при этом дважды. В преддверии экзаменов в Сети активизировались группы, предлагающие не просто "сливы", а "персональный подбор ключей" к вариантам КИМ», — отмечают эксперты Роскачества.

Во время досрочного этапа ЕГЭ, который проходил с 20 марта по 20 апреля, было выявлено четыре нарушителя из 2200 сдававших. Один из них пытался списывать, и его обнаружили с помощью средств видеоаналитики.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!