Ремонтные мастерские могут взламывать смартфоны при замене дисплея

Олег Иванов 03 Июля 2017 - 09:55

Домашние пользователи

Android

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Средства поиска уязвимостей

Шпионские программы

...

Ремонтные мастерские могут взламывать смартфоны при замене дисплея

Группа исследователей продемонстрировала, как ремонтная мастерская может передавать данные с телефонов Android или заражать их вредоносными программами. Это можно осуществить даже в ходе простой операции по замене дисплея.

Омер Шварц, Амир Коэн, Асаф Шабтай и Йосси Орен, израильские эксперты, на этой неделе предупредили пользователей о том, что производители смартфонов недостаточно продумывают защиту компонентов устройства. Таким образом, даже простой ремонт может вылиться в утечку данных.

Другими словами, нынешние устройства доверяют слишком многим электронным компонентам, считая их легитимными, это может привести к тому, что при замене этих компонентов можно «подсунуть» устройству шпионский модуль. Не имеет значения, включено ли шифрование диска, или программная песочница, если подменена аппаратная часть, то ваши фотографии и другие файлы могут свободно быть удалены или переданы третьим лицам.

Исследователи пишут:

«В отличие от подключаемых драйверов, таких как USB или сетевые драйверы, исходный код подразумевает, что аппаратная часть является легитимной и заслуживает доверия. В результате выполняется очень мало проверок целостности связи между компонентом и основным процессором устройства».

Для подтверждения своей теории, эксперты сделали видео, демонстрирующее простую замену дисплея. Поскольку целевой телефон не выполняет каких-либо проверок безопасности относительно дисплея, исследователи говорят, что новый экран может быть оснащен микроконтроллером, который затем сможет получить доступ к другим компонентам телефона, представляя себя как обычный чип сенсорного экрана.

После замены дисплея исследователи смогли вставлять вредоносные URL-адреса в браузеры, получать и отправлять по электронной почте фотографии с камеры телефона, а также регистрировать и передавать код разблокировки телефона.

Группа экспертов также отметила, что с помощью установленной вредоносной аппаратной части можно отключить компоненты безопасности устройства.

На практике эта уязвимость может позволить злоумышленникам – например, недобросовестной мастерской по ремонту – продавать и устанавливать сенсорные дисплеи, оснащенные специально разработанными контроллерами, которые затем будут собирать пользовательские данные.

Исследователи утверждают, что решение этой проблемы кроется во внедрении производителями дополнительной защиты самого оборудования.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 23 Декабря 2025 - 20:51

Мошенничество Соответствие законодательству РФ Домашние пользователи Государство

Конституционный суд упростил иски для жертв телефонного мошенничества

Конституционный суд подтвердил право жертв телефонного мошенничества обращаться в суд по месту своего жительства, а не по месту проживания ответчика. Ранее, исходя из положений статей 28 и 29 Гражданского процессуального кодекса РФ, суды нередко требовали подавать иски о возмещении ущерба именно по месту жительства ответчика.

С жалобой в высшую судебную инстанцию обратилась жительница Ставропольского края, сообщает «Российская газета».

Женщина стала жертвой злоумышленников, которые получили доступ к её онлайн-банку и похитили значительную сумму денег. По данному факту было возбуждено уголовное дело, однако его приостановили из-за неустановления лица, подлежащего привлечению в качестве обвиняемого.

В ходе расследования при этом удалось установить номер банковской карты дропа. Потерпевшая подала иск к владельцу карты о взыскании неосновательного обогащения, однако суды отклонили обращения «за нарушение принципа подсудности», поскольку ответчик проживал в Московской области. Поездка в другой регион, как указала заявительница, была для неё связана с «болезненными и практически непреодолимыми трудностями».

Судьи Конституционного суда напомнили, что право на судебную защиту предполагает эффективное восстановление нарушенных прав и свобод посредством правосудия.

«Актуальная социально-криминологическая обстановка и меняющийся характер и динамика преступности дают дополнительные основания для совершенствования гарантий доступности правосудия для потерпевших от преступлений, — приводит издание выдержку из решения Конституционного суда. — При этом учёту подлежат особенности правовой природы отношений собственности как объекта посягательства и такого их предмета, в качестве которого выступают деньги, способные поступать в результате хищения в распоряжение лиц, находящихся в самых разных, в том числе весьма удалённых от места жительства потерпевшего, местах».

В итоге Конституционный суд признал необходимость отступления от принципа территориальной подсудности при подаче исков жертвами мошенников. В суде указали, что следование прежнему подходу смещает баланс в пользу потенциального ответчика, и такой дисбаланс должен быть устранён, в том числе на законодательном уровне.

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »