Эксперты нашли 146 брешей из коробки в популярных Android-смартфонах

Олег Иванов 18 Ноября 2019 - 09:19

...

Эксперты нашли 146 брешей из коробки в популярных Android-смартфонах

Компания Kryptowire, занимающаяся поиском уязвимостей в мобильных платформах, выявила 146 новых дыр, затрагивающих устройства на базе Android. Самое печальное — все эти уязвимости идут «из коробки».

В сущности, исследователи занялись изучением предустановленного софта на Android-устройствах, производимых 29 вендорами, среди которых были: Asus, Samsung, Sony и Xiaomi.

Специалисты Kryptowire акцентируют внимание на том, что пользователям будет трудно избавить свои устройства от таких уязвимостей. Стоит отметить, что в ходе исследования мобильных устройств эксперты использовали собственную разработку — движок для автоматического обнаружения уязвимостей.

Этот инструмент позволил экспертам Kryptowire просканировать прошивки Android-устройств без необходимости иметь физический доступ к ним. Более того, в процессе движок старался сразу создать рабочий эксплойт к найденной бреши.

Исследователи начинали с устройств среднего класса, постепенно поднимаясь к флагманам.

«Основное внимание мы уделяли проблемам безопасности, уже присутствовавшим в устройствах на момент продажи. Изначально фокус был на смартфонах, которые продают в Штатах, однако результаты исследования показали, что эти уязвимости актуальны для устройств по всему миру», — гласит отчёт Kryptowire.

Среди проанализированных девайсов были: Asus ZenFone, Samsung A3, A5, A7, A8+, J3, J4, J5, J6, J7, S7, S7 Edge, Sony Xperia Touch, Xiaomi Redmi 5, Redmi 6 Pro и Mi Note 6. Во всех были выявлены бреши.

Команда экспертов распределила обнаруженные уязвимости по типам:

28,1% дыр в безопасности позволяли модифицировать системные настройки;
23,3% допускали несанкционированную установку приложений;
20,5% открывали возможность для выполнения команд;
17,8% позволяли изменить настройки беспроводной связи.

Глава Kryptowire Ангелос Ставру прокомментировал серьёзность найденных проблем безопасности:

«Если брешь кроется в самом устройстве, у пользователя не будет возможности устранить её, так как код спрятан глубоко в системе. В большинстве случаев, к сожалению, у пользователей не остаётся никаких опций».

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Марта 2026 - 18:43

Solar webProxy Малый и средний бизнес Корпорации Сетевая безопасность Шлюзы информационной безопасности (Security Web Gateway) ГК «Солар»

Заказчики Solar webProxy в Беларуси смогут быстрее получать новые версии

ГК «Солар» сообщила, что её система фильтрации и контроля веб-трафика Solar webProxy теперь сможет обновляться для белорусских заказчиков без прежних задержек, связанных с сертификацией. Это стало возможно благодаря изменённому подходу к подтверждению соответствия в Оперативно-аналитическом центре при Президенте Республики Беларусь.

Если раньше фактически приходилось отдельно проходить подтверждение для каждой новой версии продукта, то теперь последующие релизы будут автоматически получать одобрение регулятора.

На практике это значит, что белорусские клиенты смогут быстрее получать новые функции и обновления — без паузы между выходом версии и её допустимым использованием.

В первую очередь это касается организаций, для которых требования регулятора особенно чувствительны: госструктур, финансового сектора и объектов критической инфраструктуры.

Сам продукт относится к классу Secure Web Gateway. Такие системы используются для контроля веб-трафика, ограничения доступа к нежелательным ресурсам, защиты от фишинга и более тонкой настройки интернет-доступа для сотрудников. В случае Solar webProxy отдельно подчёркивается и контроль работы с публичными ИИ-сервисами — например, ChatGPT и Gemini.

Эта тема сейчас выглядит вполне актуально и для белорусского рынка. По приведённым в сообщении данным, всё больше компаний используют нейросети в повседневной работе — для маркетинга, аналитики, обучения и клиентского сервиса. Одновременно растёт и тревога вокруг утечек данных: сотрудники могут загружать в публичные ИИ-сервисы внутренние документы, отчёты, фрагменты исходного кода и другую чувствительную информацию.

На этом фоне решения класса SWG становятся не просто инструментом фильтрации трафика, а способом хотя бы частично контролировать, куда именно уходит корпоративная информация и какие внешние сервисы используют сотрудники.

В компании также сообщили, что сертификат подтверждает соответствие Solar webProxy требованиям технического регламента ТР 2013/027/BY и позволяет использовать продукт в автоматизированных системах 2 и 3 класса защищённости.

Solar webProxy стала уже третьим решением «Солара», сертифицированным в Беларуси. Ранее аналогичную процедуру прошли Solar inRights и Solar Dozor.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!